研究人员发现Office新零日漏洞：可绕过Microsoft Defender检测

研究人员无意中发现Microsoft Office中有一个漏洞在野外遭到黑客利用，该漏洞通过MSDT微软诊断工具(Microsoft Diagnostic Tool)触发，只需要受害者打开Word即可。

说起来这枚漏洞的发现过程也是挺有趣的，研究人员@nao_sec在VirusTotal恶意软件扫描平台发现一个由白俄罗斯IP地址提交的Word文档，原本研究人员是想找CVE-2021-40444漏洞的利用，但没想到却找到了个利用MSDT的新漏洞。

该漏洞已经在野外遭到黑客的利用因此算是零日漏洞，目前该漏洞尚未分配CVE编号，研究人员在4月发现漏洞后已经通报给微软，接下来要等待微软处理。

研究人员利用rft成功实现零点击利用

利用MSDT的Follina漏洞：

目前研究人员将该漏洞暂时命名为Follina，研发发现在没有提升权限的情况下就可以绕过Microsoft Defender检测，并且也不需要启用Office宏功能来执行二进制文件或脚本。

事实上黑客利用Word的外部链接功能加载HTML，然后使用MSDT方案执行PowerShell代码，脚本从某个已经被移除的WinRAR文件中获取内容，只不过这个文件被移除了所以没法验证到底有哪些恶意活动。

唯一的好消息是Office受保护视图功能可以自动弹出不安全位置的文件，即Office文件如果是从网上下载的，默认情况下受保护视图都会弹出提醒，但如果用户手动点击确认那就另当别论了。

另外如果攻击者直接将doc改成写字板格式rtf则可以绕过受保护视图功能，甚至可以在资源管理器的预览里直接触发漏洞都不需要用户打开文档。

研究人员已经可以复现漏洞：

@nao_sec在安全圈共享恶意文档后，其他研究人员也火速跟进分析，目前已经有研究人员可以在多个版本的Office上复现漏洞。

测试受影响的包括Office 2013、Office 2016、Office 2021，其他版本尚未测试因此不知道是否也受影响。

网络安全公司Huntress的研究人员在分析其工作原理时发现更多技术细节，他们发现黑客设置的动态HTML文档来自 xmlformats.com 域名，这个域名目前已经无法加载。

该安全公司也证实如果将文档后缀改成rtf格式后无需受害者进行任何交互就可以触发漏洞，也就是零点击利用。

而且这种加载方式还不太容易被检测，因为恶意代码是远程加载的，因此在doc或者rtf被下载时实际上不包含恶意代码，自然也不会触发警报。