这个0day漏洞已被在野利用 启明星辰提供检测方案
发布时间 2023-07-24
捕获的钓鱼文档界面
据悉,该漏洞为微软于7月安全更新中披露的Office和Windows HTML远程代码执行漏洞,存在于多个Windows系统和Office产品中。天阗威胁分析一体机(TAR)已监测到漏洞信息披露前已发生在野利用:Storm-0978组织(又称RomCom组织)在对北约峰会的攻击中,利用该漏洞制作了以乌克兰世界大会为主题的诱饵文件,发起钓鱼攻击。
漏洞攻击流程
CVE-2023-36884漏洞核心思路在于利用Microsoft Office文档OOXML规范中可替代格式块(Alternative Format Chunk)内嵌带有其他攻击组件的rtf文档完成Office防御机制绕过,可以配合其他漏洞实现无感知、无交互的远程代码执行。
早期钓鱼攻击样本主要使用CVE-2017-0199、CVE-2021-40444、CVE-2022-30190等逻辑漏洞,后续攻击载荷远程获取,整体攻击流程比较复杂。
而这两周内陆续捕获到的多数攻击样本,内嵌的rtf均采用模板化的CVE-2017-11882,来执行rtf同时释放的PE文件。
部分捕获样本不包含诱饵信息,并带有新的rtf混淆技巧:利用rtf文件中包含的ole对象过程对16进制数据的长度限制,使静态解析过程数据错位,无法对齐还原原有ole对象,具备较强的免杀能力。
漏洞危害
在实际钓鱼攻击中,该漏洞可用于绕过office安全机制及提供一层免杀,为其他office常用钓鱼攻击漏洞提供了保护壳,实现了无感知、无交互的远程代码执行,大幅降低钓鱼攻击利用门槛,非法者可较为轻松地将原有测试用攻击载荷替换为C2工具,形成钓鱼攻击入口,危害极大,需要做好防御措施。
启明星辰检测方案
1、文件还原检测
该漏洞配合其他office漏洞使用,用于钓鱼邮件攻击。天阗威胁分析一体机(TAR)采用双向检测引擎,可对百余种文件进行还原,内置沙箱,可对常见百余种邮件附件格式进行还原和沙箱检测,同时具备提取正文密码破解能力,可自动使用邮件正文密码爆破压缩包附件,爆破成功后对附件及附件子文件进行检测。
2、行为检测
天阗威胁分析一体机(TAR)内置沙箱,除静态检测外,还可对office文件进行行为检测和漏洞利用检测。沙箱采用第三代硬件仿真技术,可对恶意样本进行欺骗,通过office文件执行行为,来判定恶意行为。
行为检测告警界面
3、缓解措施
天阗威胁分析一体机(TAR)已支持CVE-2023-36884漏洞利用检测,请用户不要打开来历不明的office文档,已部署TAR用户可将可疑文档离线上传到TAR设备检测。
本地缓解措施:
可配置相关注册表项来阻止相关漏洞被利用,步骤如下:
新建一个文本文档,输入如下内容并保存。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet
Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]
"Excel.exe"=dword:00000001
"Graph.exe"=dword:00000001
"MSAccess.exe"=dword:00000001
"MSPub.exe"=dword:00000001
"Powerpnt.exe"=dword:00000001
"Visio.exe"=dword:00000001
"WinProj.exe"=dword:00000001
"WinWord.exe"=dword:00000001
"Wordpad.exe"=dword:00000001
将保存的文件后缀修改为.reg。
双击修改后的文件,导入注册表即可。
导入完成后建议重启所有打开的Office程序以确保设置生效。
京公网安备11010802024551号