本地复现成功

样本在这里

https://app.any.run/tasks/713f05d2-fe78-4b9d-a744-f7c133e3fafb

使用 Word 远程模板功能从远程 Web 服务器检索 HTML 文件，该服务器又使用 ms-msdt MSProtocol URI 方案加载代码并执行一些 PowerShell。

即使禁用宏，Microsoft Word 也会通过 msdt执行代码。如果您将文档更改为 RTF 形式，它甚至无需打开文档（通过资源管理器中的预览选项卡）即可运行

当前，本地管理员，完全禁用宏，使用 Defender，使用 Office 365 ，在打开 Word 文档时随便弹出 calc。

建议：删除ms-msdt URI 注册表项

或禁止office应用生成子进程

自动生成工具也出来了

https://github.com/chvancooten/follina.py

参考：

https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

https://gist.github.com/kevthehermit/5c8d52af388989cfa0ea38feace977f2

https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes