2022 年 5 月 29 日,独立的网络安全研究团队 Nao_Sec 发现了一份在 Virustotal 上共享的恶意 Office 文档。该文件使用一种不寻常但已知的方案来感染其受害者。大多数EDR(如:Microsoft Defender for Endpoint)无法检测该漏洞利用。因为它不涉及宏,此漏洞可能导致无需用户交互即可执行代码,除非启用了受保护的视图模式。目前该漏洞尚无 CVE 编号。
黑客通过使用 MSProtocol URI 方案加载一些代码来利用该漏洞。攻击者可以在以 ms-msdt 开头的 Microsoft Office 文档、模板或电子邮件中嵌入恶意链接:这些链接将在之后加载并执行,无需用户交互,除非启用了受保护的视图模式。尽管如此,将文档转换为 RTF 格式也可以绕过受保护的视图功能。
POC:
见文末下载区
视频演示如下:
2022 年 5 月 29 日,独立的网络安全研究团队 Nao_Sec 发现了一份在 Virustotal 上共享的恶意 Office 文档。该文件使用一种不寻常但已知的方案来感染其受害者。大多数EDR(如:Microsoft Defender for End…
