跳转至

Office模板宏

对手可能会滥用 Microsoft Office 模板在受损系统上获得持久性。Microsoft Office 包含作为常见 Office 应用程序一部分的模板,用于自定义样式。应用程序中的基本模板在每次启动应用程序时使用。(引用: Microsoft Change Normal Template) Office Visual Basic for Applications (VBA) 宏 (引用: MSDN VBA in Office) 可以插入到基本模板中,并在相应的 Office 应用程序启动时用于执行代码以获得持久性。Word 和 Excel 的示例已被发现并发布。默认情况下,Word 创建了一个可以修改以包含恶意宏的 Normal.dotm 模板。Excel 默认没有创建模板文件,但可以添加一个模板文件,该文件将在启动时自动加载。(引用: enigma0x3 normal.dotm)(引用: Hexacorn Office Template Macros) 共享模板也可以存储并从远程位置提取。(引用: GlobalDotName Jun 2019) Word Normal.dotm 位置:
C:\Users\<username>\AppData\Roaming\Microsoft\Templates\Normal.dotm Excel Personal.xlsb 位置:
C:\Users\<username>\AppData\Roaming\Microsoft\Excel\XLSTART\PERSONAL.XLSB 对手还可以通过劫持应用程序的搜索顺序来更改基本模板的位置,例如 Word 2016 将首先在 C:\Program Files (x86)\Microsoft Office\root\Office16\ 下查找 Normal.dotm,或通过修改 GlobalDotName 注册表项。通过修改 GlobalDotName 注册表项,对手可以指定一个任意位置、文件名和文件扩展名,用于在应用程序启动时加载的模板。要滥用 GlobalDotName,对手可能首先需要将模板注册为受信任的文档或将其放置在受信任的位置。(引用: GlobalDotName Jun 2019) 根据系统或企业安全策略对宏的使用,对手可能需要启用宏以执行不受限制的操作。