网络犯罪分子在MicrosoftWord中发现了一个新漏洞(在新标签中打开)允许他们分发恶意软件的文档(在新标签中打开)，研究人员说。该漏洞由网络安全专家KevinBeaumont发现，并被称为“Follina”，它利用了一个名为msdt.exe的Windows实用程序，旨在在Windows上运行不同的疑难解答包。

根据该报告，当受害者下载武器化的Word文件时，他们甚至不需要运行它，在Windows资源管理器中预览它就足以让该工具被滥用(不过它必须是一个RTF文件)。

分享您对网络安全的看法，并免费获得《2022年黑客手册》。帮助我们了解企业如何为后Covid世界做准备，以及这些活动对其网络安全计划的影响。在本次调查结束时输入您的电子邮件以获取价值10.99美元/10.99英镑的bookazine。

通过滥用此实用程序，攻击者能够告诉目标端点从远程URL调用HTML文件。研究人员建议，攻击者选择了xmlformats[.]com域，可能试图隐藏在大多数Word文档中使用的看起来相似但合法的openxmlformats.org域后面。

HTML文件包含大量“垃圾”，这混淆了它的真正目的——下载和执行有效负载的脚本。

该报告几乎没有提及实际有效载荷，因此很难确定威胁参与者的最终目标。它确实说与公开样本相关的完整事件链尚不清楚。

调查结果公布后，微软承认了这一威胁，称“当从Word等调用应用程序使用URL协议调用MSDT时”存在远程代码执行漏洞。

“成功利用此漏洞的攻击者可以使用调用应用程序的权限运行任意代码。然后，攻击者可以在用户权限允许的范围内安装程序、查看、更改或删除数据，或创建新帐户。”

虽然一些杀毒软件(在新标签中打开)Sophos等软件已经能够发现这种攻击，Micorosft还发布了一种缓解方法，其中包括禁用MSDTURL协议。