近日，网络安全研究员nao_sec发现了一个从白俄罗斯上传至分析服务网站VirusTotal的恶意Word文档（文件名为" 05-2022-0438.doc "）。这个文档使用远程模板特性获取HTML，然后使用“ms-msdt”方案执行PowerShell代码。

随后，知名网络安全专家Kevin Beaumont发表了对该漏洞的分析。“该文档使用 Word远程模板功能从远程网络服务器检索HTML文件，该服务器又使用ms-msdt MSProtocol URI方案加载一些代码并执行一些 PowerShell”，在他的分析中这样写道，“这里发生的一些事情比较复杂，而首当其冲的问题是即使禁用了宏，Microsoft Word 也会通过msdt（一种支持工具）执行代码。受保护的视图确实起了作用，可尽管如果您将文档更改为RTF形式，它甚至无需打开文档，仅通过资源管理器中的预览选项卡即可运行，更不用说受保护的视图了。”

据了解，该零日漏洞会影响多个Microsoft Office版本，包括Office、Office2016和Office 2021。

参考来源：

https://securityaffairs.co/wordpress/131800/hacking/multiple-microsoft-office-versions-zero-day.html