大工网安告[2022]022号

一、情况分析

近期公开披露了一个Microsoft Office命令执行漏洞的细节及POC，攻击者可通过恶意Office文件中远程模板功能从服务器获取恶意HTML文件，通过 ‘ms-msdt’URI来执行恶意PowerShell代码。该漏洞在宏被禁用的情况下，仍能通过MSDT（Microsoft Support Diagnostics Tool）功能执行代码，将恶意doc文件另存为RTF格式时，无需打开文件，通过资源管理器中的预览选项卡即可在目标机器上执行任意代码。目前微软未进行修补，该漏洞为0 Day漏洞，评分为8.8分，已经在Office 2013上复现此漏洞。

漏洞复现：在Windows 10系统上，安装Office 2013，默认配置，恶意文档需要远程获取HTML文件，所以需要在服务器搭建HTTP服务，并将恶意文档请求的IP修改为服务器IP，打开恶意文档即可触发漏洞。将文档另存为RTF文件，无需打开文档，通过文件管理器的预览功能也可以触发漏洞：

二、影响范围

目前已确认影响的版本如下：

Microsoft Office 2013

Microsoft Office 2016

Microsoft Office 2019

还有一些Office版本未进行测试。

三、处置建议

目前官方还未修补此漏洞，用户可以通过以下方式缓解此漏洞影响：

(1) 不要随意下载、打开来路不明的文档，关闭文件浏览器的预览功能，在文件浏览器界面点击查看按钮，点击预览窗格可以打开预览功能，再次点击即可关闭预览功能。

(2)移除ms-msdt的文件类型关联：如果Windows注册表中HKEY_CLASS_ROOT下找到ms-msdt项，对注册表做备份并删除这一项，删除后，当恶意文档被打开时，Office将无法调用ms-msdt，从而阻止恶意PowerShell代码运行。