昆仑山

注册

 

发新话题 回复该主题

利用Follina漏洞网络攻击的加密流量 [复制链接]

1#

概述

年5月27日,我们发现有安全研究人员公开了一个新的Office漏洞,称为Follina,由白俄罗斯的一个IP地址上传。该漏洞的原理是利用MicrosoftOffice将远程HTML页面作为OLE对象插入的功能,文档打开后将访问远程HTML页面并执行其中的代码,攻击者利用js代码将页面重定向,使其通过"ms-msdt:"协议访问URL链接,调用本地msdt.exe并传入攻击者构造好的参数,最终执行任意PowerShell代码。值得注意的是,该漏洞在宏被禁用的情况下仍可被利用,具有较大的安全隐患。

6月初,研究人员公开了一个针对乌克兰的攻击样本(ded1cde36b7fd8ffc56f0b72cafdb3fce1),发现有组织使用CobaltStrikeBeacon恶意软件并利用该漏洞CVE--对乌克兰国家组织进行了网络攻击。下面将对该漏洞的利用和此样本产生的流量进行分析。

二、Follina漏洞利用

1.使用网上已公开的poc

2.在当前目录下生成clickme.docx和

分享 转发
TOP
发新话题 回复该主题