Microsoft Office中的一個零日漏洞正在被廣泛利用，雖然還沒有補丁，但這家軟件巨頭已經發布了解決方法來防止攻擊。

該漏洞CVE-2022-30190于周五首次曝光，由獨立的安全研究小組Nao_sec提供。Nao_sec在Twitter上報告說，他們在VirusTotal中發現了一個由白俄羅斯用戶上傳的惡意文檔，該文檔引用了Microsoft Support Diagnostic Tool (MSDT)。

Nao_sec在推文中說：“它使用Word的外部鏈接加載HTML，然后使用“ms-msdt”方案執行PowerShell代碼。”

上周末，其他安全研究人員檢查了該文檔，并確認微軟零日漏洞的存在，該漏洞早先已被利用。獨立安全研究員Kevin Beaumont周日發表了一篇關于該漏洞的博客文章，他將其稱為“Follina”，并指出額外的野外利用樣本已于4月上傳到VirusTotal。

這個有趣的惡意文檔從白俄羅斯提交。它使用 Word 的外部鏈接加載 HTML，然后使用“ms-msdt”方案執行PowerShell代碼。

根據Beaumont的說法，即使宏被禁用，該漏洞也允許Microsoft Word文檔通過MSDT執行代碼。額外的樣本包括似乎與工作面試有關的俄語文件。

托管威脅檢測供應商Huntress Labs上周日發布了一份威脅報告，稱微軟零日是一種“新穎的初始訪問技術”，只需單擊一次或更少即可執行。Huntress的高級安全研究員John Hammond寫道：“這對攻擊者來說是一種誘人的攻擊，因為它隱藏在沒有宏的Microsoft Word文檔中，以觸發用戶熟悉的警告信號-但具有運行遠程托管代碼的能力。”

微軟確認MSDT漏洞

微軟安全響應中心 (MSRC) 上周日證實了MSDT漏洞的存在，盡管這家軟件巨頭并未將該遠程代碼執行漏洞描述為零日漏洞或確認在實際環境進行的利用活動。但是，微軟針對CVE-2022-30190的安全公告指出，已檢測到漏洞利用。

MSRC帖子提供了防止漏洞利用的變通方法，包括禁用MSDT URL協議。微軟還表示，Application Guard for Office將阻止對CVE-2022-30190的攻擊，并在受保護的視圖中打開惡意文檔。

微軟將發現MSDT漏洞的功勞歸于匿名安全研究員“Crazyman”，他是威脅追蹤小組Shadow Chaser Group的成員。

Beaumont在他的博客文章中指出，Crazyman于4月12日首次報告了CVE-2022-30190的威脅活動。根據Crazyman的推文，微軟于4月21日做出回應，并告知研究人員這“不是安全相關問題”。

目前尚不清楚漏洞提交最初被拒絕的原因。

截至發稿時，微軟沒有回應置評請求。

更新

微軟沒有直接回答有關漏洞利用的問題，以及為什么MSRC帖子沒有將該漏洞標識為零日漏洞。

微軟援引MSRC帖子和漏洞公告表示：“為了幫助保護客戶，我們在此處發布了CVE-2022-30190和其他指南。”

微軟沒有回答有關Crazyman最初的漏洞報告及其遭拒絕的問題；微軟發言人表示，該公司目前沒有更多可分享的信息。