多个Microsoft Office版本受主动利用的零日影响

最后更新：2022.05.30

Microsoft Office的零日缺陷，可以被攻击者利用以在Windows系统上实现任意代码执行。

网络安全研究人员Nao_sec发现了恶意的Word文档（05-2022-0438.doc）从白俄罗斯上传到Virustotal。该文档使用远程模板功能获取HTML，然后使用MS-MSDT方案执行PowerShell代码。

有趣的Maldoc是从白俄罗斯提交的。它使用单词外部链接来加载HTML，然后使用“ MS-MSDT”。执行PowerShell Code.https：//t.co/htdafhoux3 pic.twitter.com/rvsb02ztwt [1123]的方案。Nao_sec（@nao_sec）2022年5月27日

https://t.co/q9mj9mj9lruju pic.twitter.twitter.com/ghbo0qubjo
nao_sec（@nao_sec）2022年5月27日

流行的网络安全专家凯文·博蒙特（Kevin BeaumontORD远程模板功能从远程Web服务器检索HTML文件，该文件又使用MS-MSDT MSProtocol URI方案加载一些代码并执行一些PowerShell。阅读Beaumont发布的分析。这里有很多事情要做，但是第一个问题是Microsoft Word是通过MSDT（支持工具）执行代码，即使宏是禁用的宏。受保护的视图确实启动了，尽管如果将文档更改为RTF表单，它甚至在没有打开文档的情况下运行（通过Explorer中的“预览”选项卡），更不用说受保护的视图了。

问题。影响多个Microsoft Office版本，包括Office，Office 2016和Office2021。

安全事务是2022年欧洲最佳网络安全博客奖的决赛入围者之一 - 投票给您的获奖者。我请您再次为我投票（即使您已经做过），因为这次投票是为决赛投票。

请投票支持安全事务和Pierluigi Paganini包括它们在内的非常类别（例如，“弱者 - 最佳个人（非商业）安全博客”和“ The Tech Whiz - 最佳技术博客”）

提名，请访问：

https://docs.google.com/forms/d/e/1faipqlsdndzjvtomsq36ykihqhqwwhma90sr0e9rlndflz3cu_gvi2axaxaxaxw/view/view/view/view/view/view/view form

- END -