簡述
Microsoft Office 中的一個零時差漏洞允許攻擊者通過遠端 Word 模板功能的漏洞再目標系統上運行惡意代碼，並且不依賴於典型的基於宏的利用路徑。研究人員將其成為 Follina。

 

影響範圍
從 2003 到當前版本的 Office 都會受到攻擊。

 

漏洞說明
研究人員解釋說，感染途徑包括惡意模板通過遠端伺服器的超文本標記語言 (HTML) 文件加載漏洞。加載的 HTML 透過 「ms-msdt”MSProtocol URI 」來加載和執行 PowerShell 代碼片段。MSDT 代表 Microsoft 支持診斷工具，它收集信息並向 Microsoft 支持報告。此故障排除嚮導將分析收集的信息並嘗試找到解決用戶遇到的問題的方法。研究人員發現此漏洞允許代碼通過 MSDT 運行，即使宏被禁用也是如此。擁有 E5 許可證的 Microsoft 用戶可以通過將端點查詢附加到 Defender 來檢測漏洞。此外，Warren 建議使用攻擊面減少 (ASR) 規則來阻止辦公應用程序創建子進程。

 

參考資料：
https://threatpost.com/zero-day-follina-bug-lays-older-microsoft-office-versions-open-to-attack/179756/