Microsoft 在2022 年 5 月 31 日披露了 Microsoft 支持诊断工具 (MSDT) 中的远程代码执行 (RCE) 漏洞。这个漏洞被称为“Follina”,攻击者可以通过向容易受攻击的客户端发送 URL 来利用它。成功利用允许攻击者安装程序、查看或更改数据,或根据受害者的用户权限创建新的帐户。
现在该漏洞已经可以被用到Microsoft office相关的产品中
而且改漏洞还没有安全补丁更新,建议大家可以根据企业内部实际情况,参考如下做法来预防该漏洞的影响:
(Office 应用程序包括 Word、Excel、PowerPoint、OneNote 和 Access)
创建恶意子进程是一种常见的恶意软件策略,很多利用office作为攻击载体都是通过VBA宏代码下载恶意代码或者工具。
Microsoft 云用户可以通过intune工具创建阻止规则:Office apps launching child processes
本地配置管理器阻止创建规则:Block Office application from creating child processes
图形用户界面阻止规则:7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
允许用户访问和运行故障排除控制面板中提供的故障排除工具,并运行故障排除向导来解决计算机上的问题。如果启用或未配置此策略设置,用户可以从故障排除控制面板访问和运行故障排除工具。
通过注册表值修改启用和禁用:
注册表值适用Windows10和Windows2016
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics
REG_DWORD值为0 则是禁用,值为1 则是允许
适用Windows11和Windows2022
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics
Value Name:EnableDiagnostics
Value Type:REG_DWORD值为0 则是禁用,值为1 则是允许
需要注意的是,如果禁用此策略设置,用户将无法从控制面板访问或运行故障排除工具。这个设置还影响用户启动独立故障Debug包,例如 .diagcab 文件。如果客户端有需要执行troubleshooting收集异常现象,需要注意这一点。