2022年最简单的Office 0day漏洞

导读

背景

2022 年 5 月 27 日，来自日本东京的网络安全研究团队nao_sec发现了一个从白俄罗斯 IP上传到VirusTotal的恶意 Word 文档。该文档滥用 了Microsoft Word 的远程加载特性访问恶意的HTML 文件，该文件随后使用ms-msdt  URI协议在 Word 的上下文中执行恶意的 PowerShell。

情报研判

实际上该漏洞在4月12日就已经被安全社区提交到微软，目前通过恶意文档这些信息可以判断，攻击者是懂俄语语系的人员。

漏洞分析

Microsoft 支持诊断工具(MSDT，Microsoft Support Diagnostic Tool ) 是 Windows 11/10/8.1/7 等系统中的一项内置服务。要运行这个工具，在“开始搜索”框中键入msdt ，然后按 Enter，输入微软服务支持的密钥后，该工具就会被激活。

一般普通用户和企业很难用到这个工具，工具作用如名字，是微软IT服务支持为用户进行故障诊断使用的。

由于该工具是和Powershell“C:WindowsdiagnosticssystemPCWTS_ProgramCompatibilityWizard.ps1”交互，相关的IT_BrowseForFile参数存在命令注入，最终的调用支持动态执行PowerShell代码。

最关键的是该工具注册支持了一个ms-msdt  URI协议，导致可以远程调用这个命令执行功能，于是产生漏洞。

攻击向量

ms-msdt协议0day漏洞在Office文档中的利用，实际上是一种 "Office loading IE engine" 的攻击向量，只要这个攻击向量特性还存在，漏洞就不会消失。利用这个特性，在微软操作系统中内置的和第三方软件仍然可能还有巨量的URI伪协议可以被利用。

另外还有2个特性坑点：

• Windows有一个Enhanced Metafile特性，即文件预览功能。如果在Office文档中把这个OLEObject Enhanced Metafile这个特性打开，又是RTF类型的文档，在文件资源管理窗口内疑似会以图片预览的形式自动触发文件OLEObject进行这个URI访问，似乎这是OLE与URL Monkier等一系列历史功能特性相关。

• MHTML的网页渲染对网页文件会有一个4096字节大小的兼容性检查。

修复

Office的攻击向量的修复较简单，在5月24日的15225.20204版本就缓解了攻击入口，对于ms-msdt URI协议地址进行了html编码，使恶意参数无法从URI正常传递。

目前微软还有很多其他临时解决方案，很多方案只需要开启一个开关即可防御和遥测这个漏洞，如微软的攻击面缩减策略Block all Office applications from creating child processes（阻止Office创建子进程），可以彻底封禁这个漏洞，然而也会造成一些需要子进程的兼容使用问题。