网络安全研究人员正在呼吁人们关注微软 Office 的一个零日漏洞，这个漏洞可能被用来在受影响的 Windows 系统上任意执行代码。

在一个名为 nao _ sec 的独立网络安全研究小组发现了一份 Word 文档(“05-2022-0438.doc”) ，该文档是从白俄罗斯的一个 IP 地址上传到 VirusTotal 的。

“它使用 Word 的外部链接来加载 HTML，然后使用‘ ms-msdt’方案来执行 PowerShell 代码,”研究人员在上周的一系列推文中指出。

安全研究员凯文 · 博蒙特称这个漏洞为“ Follina”，根据他的说法，maldoc 利用 Word 的远程模板功能从服务器获取一个 HTML 文件，然后服务器利用“ ms-msdt://”URI 方案运行恶意有效负载。

这个漏洞被如此命名是因为恶意样本引用了0438，这是Follina的区号，这是Treviso的一个直辖市。

博蒙特解释说: “这里发生了很多事情，但第一个问题是微软 Word 通过 msdt (一种支持工具)执行代码，即使宏被禁用。”。

（MSDT 是 Microsoft Support Diagnostics Tool 的缩写，这是一个实用工具，用于故障排除和收集诊断数据，以便支持专业人员进行分析以解决问题。）

研究人员补充说: “保护视图确实起作用了，虽然如果你将文档更改为 RTF 格式，它甚至不用打开文档(通过浏览器中的预览标签)就可以运行，更不用说保护视图了。”

在一份独立的分析报告中，网络安全公司 Huntress Labs 详细描述了攻击流程，指出触发攻击的 HTML 文件(“ rdf842l. HTML”)来自一个现在无法访问的域名为“ xmlformats [ . ]com。”

”富文本格式文件（.RTF）实验室的 John Hammond 说: “ RTF可以触发这个漏洞的调用，只要预览窗格在2010年文件资源管理器之内”。“就像 cve-2021-40444一样，这扩展了这种威胁的严重性，不仅仅是通过‘单击’来利用，而且可能通过‘零点击’触发。”

多个微软 Office 版本，包括 Office、 Office 2016和 Office 2021，据说都会受到影响，尽管其他版本预计也会受到影响。

此外，NCC 集团的 Richard Warren 设法演示了 Office Professional Pro 上的一个漏洞，在启用了预览窗格的最新 Windows 11机器上运行了2022年4月的补丁。

“微软将需要在所有不同的产品中进行补丁，安全供应商将需要强大的检测和阻止,”Beaumont 说。我们已经联系了微软公司请其置评，一旦得到回复，我们将立即更新相关报道。

微软已于本周一发布了针对 Office 办公套件中一个新发现的零日安全缺陷的指导意见，这个缺陷可能被用于在受影响的系统上执行代码。泛联新安的BinSearch也已支持对该漏洞的检测。