关于 Microsoft Office 恶意新漏洞的了解事项

微软 Office（和微软 Windows）中的“零日”漏洞正被中国政府支持的黑客用来攻击藏人。零日攻击是网络安全术语，指任何未修补或以前未知的漏洞。它们对黑客特别有用，因为防病毒软件和其他软件防御对它们不起作用。目前，如果您在任何现代版本的 Office 中打开受感染的 Word 文档，嵌入的代码就会运行。

据威胁分析公司 Proofpoint 称，一个名为 TA413 的中国黑客组织利用最近报道的“Follina”漏洞攻击藏人。攻击嵌入在一份恶意 Word 文档中，该文档声称是由位于印度达兰萨拉的西藏流亡政府中央西藏行政当局的“妇女赋权办公室”发送的。这并不是中国黑客第一次针对藏人群体：公民实验室 2019 年的一份报告指出，十多年来发生了多起此类事件。

除藏族人民外，自今年 4 月以来，受 Follina 感染的 Word 文档还在野外发现，其目标是俄罗斯和印度人民。

根据安全研究员 Kevin Beaumont（他将这个漏洞命名为“Follina”，甚至设计了一个相当糟糕的标志）的说法，这个漏洞利用 Word 的远程模板功能从远程 Web 服务器获取 HTML 文件，然后劫持 Microsoft 支持诊断工具 (MSDT) 下载并执行 PowerShell 中的一些代码。

由于该漏洞利用了支持工具 MSDT，因此即使禁用宏（这是 Office 的一个常用漏洞利用功能，允许应用程序运行外部代码）也能发挥作用。同样，通过使用 RTF（富文本格式）文档（这是 Word 默认可以打开的另一种文档格式），可以避免受保护的视图安全功能。您可以在上面的视频中看到它的实际效果。非恶意概念验证设置为在文档加载后立即打开计算器应用程序。

正如 Beaumont 所写，“这应该是不可能的。”他指出了该漏洞的两个独立问题：Office 如何处理 HTML Word 模板和 Outlook 链接的加载，以及 MSDT 是否允许这种代码执行。

目前，该漏洞几乎存在于所有现代版本的 Office 中。研究人员已在 Office 2013、2016、2019、2021、Office ProPlus 和 Office 365 以及 Windows 本身中证明了这一点，因为它可以使用 .lnk 文件调用，这些文件是操作系统用来打开另一个文件、文件夹或应用程序的文件。

微软已经承认了这个问题（称之为不太引人注目的“CVE-2022-30190”），并发布了一个解决方法，即让用户禁用 MSDT URL 协议，漏洞利用该协议来加载 PowerShell 代码。据推测，其安全工程师正在努力开发合适的补丁。

不幸的是，微软安全响应中心 (MSRC) 似乎对 Follina 的响应有点慢。攻击背后的原理最早发表在 2020 年的一篇学士论文中，2021 年他们修补了 Microsoft Teams 中的类似漏洞。4 月中旬向 MSRC 提交的报告被驳回，该漏洞被裁定为“与安全无关”。

直到 5 月 27 日，安全厂商 Nao Sec 在推特上发布了在白俄罗斯发现的野外漏洞示例，并于 5 月 29 日经 Beaumont 的分析和命名后，微软才公开将其认定为零日漏洞。

在 Follina 完全修复之前，我们建议谨慎打开来自未知来源的 Word 文档。如果您担心成为攻击目标（或者您是管理员，希望确保其费用不会误运行任何恶意代码），您也可以遵循 Microsoft 的缓解建议。

这只是理论漏洞如何从研究实验室走向现实世界的另一个例子。虽然保持安全补丁的更新非常重要，但它无法保护您免受所有可能的攻击媒介的侵害。在国际网络安全和国家支持的黑客领域，持续警惕是唯一的选择。

不过，这样做是有回报的。就在本周，美国联邦调查局局长克里斯托弗·雷宣布，该机构成功挫败了伊朗政府支持的针对波士顿儿童医院的黑客攻击。据美联社报道，美国联邦调查局从一位未指明的情报合作伙伴那里获悉了这次攻击，并向医院提供了信息（可能还有安全补丁或其他某种软件缓解措施），帮助医院应对威胁。