一个新的 Microsoft Word 零日漏洞可以让黑客完全控制您的计算机。 即使您不打开受感染的文件,该漏洞也可能被利用。
尽管我们仍在等待修复,但微软已经为这个漏洞提供了解决方案,所以如果你经常使用 MS Office,你应该检查一下。
当心新的 Microsoft Word 漏洞
Microsoft Word 漏洞,被最初调查它的研究人员之一 – Kevin Beaumont 称为 Follina,他还发表了一篇关于它的长篇文章 – 迄今为止被归因于 MSDT 工具。 它最初是在 5 月 27 日通过 nao_sec 的一条推文发现的,尽管微软显然早在 4 月就首次了解到它。 尽管尚未发布任何修复程序,但 Microsoft 的解决方案需要关闭 Microsoft 支持诊断工具 (MSDT),这是该漏洞获取对被攻击计算机的访问权限的方式。
白俄罗斯提交了有趣的maldoc。 它使用 Word 的外部链接来加载 HTML,然后使用 "ms-msdt" 执行 PowerShell 代码的方案。https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) 2022 年 5 月 27 日
Microsoft Word 漏洞是 MS Word 中的远程代码执行失败,主要影响 .rtf 文件。 MS Word 的模板功能允许它从外部源加载和执行代码,Follina 利用这些代码访问计算机,然后运行一系列打开 MSDT 的命令。 在正常情况下,Windows 用户可以使用 Microsoft Diagnostic Tool for Windows (MSDT) 来解决各种问题而不会出现问题。 不幸的是,由于此工具还可以远程访问您的计算机,因此它有助于漏洞利用来控制它。
在 .rtf 文件的情况下,即使你不打开文件,exploit 也可以运行。 只要您在文件资源管理器中查看,就可以启动 Follina。 一旦攻击者通过 MSDT 入侵您的计算机,他们就可以全权使用它来做任何他们想做的事情。 他们可能会下载有害软件、泄露敏感数据等等。
Beaumont 在过去包含了几个 Follina 示例,包括如何在各种文件中使用和发现它。 金融敲诈只是该漏洞利用的众多用途之一。 当然——你不希望在你的 PC 上使用它。
在微软发布补丁之前该怎么办?
在公司发布补丁修复之前,您可以采取一些措施来避免 Microsoft Word 漏洞。 就目前的情况而言,官方的解决方案是变通方法; 我们不确定接下来还会发生什么。
首先,检查您的 Office 版本是否是受 Microsoft Word 漏洞影响的版本之一。 到目前为止,该漏洞已在 Office 2013、2016、2019、2021、Office ProPlus 和 Office 365 中发现。 不知道旧版本的 Microsoft Office 是否受到保护。 因此,重要的是要采取进一步的预防措施来保护自己。
避免使用并不是一个糟糕的主意。 doc、.docx 和 .rtf 文件,如果可以的话。 考虑迁移到 Google Docs 等基于云的服务。 只接受和下载来自 100% 可识别来源的文件——这通常是一个很好的经验法则。 顺便说一句,您可以通过访问我们的文章来发现您需要了解的有关 Microsoft Office 2021 的所有信息。
最后,按照微软关于禁用 MSDT 的说明进行操作。 您需要打开命令提示符并以管理员身份运行它,然后输入一些语句。 如果一切顺利,你应该远离 Follina。 但是,请记住,始终建议谨慎行事。
下面我们分享必要的步骤 禁用 MSDT URL 协议, 微软提供:
禁用 MSDT URL 协议可防止故障排除程序作为链接启动,包括整个操作系统的链接。 仍然可以使用“获取帮助”应用程序和系统设置中的其他或附加故障排除程序来访问故障排除程序。 请按照以下步骤禁用:
- 跑 命令提示符 作为 行政人员.
- 要备份注册表项,请执行命令“reg export HKEY_CLASSES_ROOTms-msdt 文件名“
- 执行命令“reg delete HKEY_CLASSES_ROOTms-msdt /f”。
如何撤消解决方法
跑 命令提示符 作为 行政人员.
要恢复注册表项,请执行命令“reg import 文件名”
微软并不是网络攻击的唯一受害者,例如,黑客试图以欧洲官员为目标,以获取有关乌克兰难民、物资的信息。