东森平台

首页 > 关于东森平台 > 新闻动态 > 产物动态

这个0day漏洞已被在野利用东森平台提供检测方案

宣布时间 2023-07-24

近日，某用户处部署的东森平台天阗威胁分析一体机（TAR）设备捕捉到利用编号为 CVE-2023-36884高危0day漏洞的样本。截至目前，天阗威胁分析一体机（TAR）已现网共捕捉9例在野利用。

东森·(中国区)官方网站

捕捉的钓鱼文档界面

据悉，该漏洞为微软于7月宁静更新中披露的Office和Windows HTML远程代码执行漏洞，存在于多个Windows系统和Office产物中。天阗威胁分析一体机（TAR）已监测到漏洞信息披露前已发生在野利用：Storm-0978组织（又称RomCom组织）在对北约峰会的攻击中，利用该漏洞制作了以乌克兰世界大会为主题的诱饵文件，提倡钓鱼攻击。

漏洞攻击流程

CVE-2023-36884漏洞核心思路在于利用Microsoft Office文档OOXML规范中可替代格式块（Alternative Format Chunk）内嵌带有其他攻击组件的rtf文档完成Office防御机制绕过，可以配合其他漏洞实现无感知、无交互的远程代码执行。

早期钓鱼攻击样本主要使用CVE-2017-0199、CVE-2021-40444、CVE-2022-30190等逻辑漏洞，后续攻击载荷远程获取，整体攻击流程比力庞大。

而这两周内陆续捕捉到的多数攻击样本，内嵌的rtf均接纳模板化的CVE-2017-11882，来执行rtf同时释放的PE文件。

东森·(中国区)官方网站

部门捕捉样本不包罗诱饵信息，并带有新的rtf混淆技巧：利用rtf文件中包罗的ole工具过程对16进制数据的长度限制，使静态解析过程数据错位，无法对齐还原原有ole工具，具备较强的免杀能力。

漏洞危害

在实际钓鱼攻击中，该漏洞可用于绕过office宁静机制及提供一层免杀，为其他office常用钓鱼攻击漏洞提供了�；た�，实现了无感知、无交互的远程代码执行，大幅降低钓鱼攻击利用门槛，非法者可较为轻松地将原有测试用攻击载荷替换为C2工具，形成钓鱼攻击入口，危害极大，需要做好防御措施。

东森平台检测方案

1、文件还原检测

该漏洞配合其他office漏洞使用，用于钓鱼邮件攻击。天阗威胁分析一体机（TAR）接纳双向检测引擎，可对百余种文件进行还原，内置沙箱，可对常见百余种邮件附件格式进行还原和沙箱检测，同时具备提取正文密码破解能力，可自动使用邮件正文密码爆破压缩包附件，爆破乐成后对附件及附件子文件进行检测。

2、行为检测

天阗威胁分析一体机（TAR）内置沙箱，除静态检测外，还可对office文件进行行为检测和漏洞利用检测。沙箱接纳第三代硬件仿真技术，可对恶意样本进行欺骗，通过office文件执行行为，来判定恶意行为。

东森·(中国区)官方网站

行为检测告警界面

3、缓解措施

天阗威胁分析一体机（TAR）已支持CVE-2023-36884漏洞利用检测，请用户不要打开来历不明的office文档，已部署TAR用户可将可疑文档离线上传到TAR设备检测。

当地缓解措施：

可配置相关注册表项来阻止相关漏洞被利用,步骤如下:

新建一个文本文档,输入如下内容并生存。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet

Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]

"Excel.exe"=dword:00000001

"Graph.exe"=dword:00000001

"MSAccess.exe"=dword:00000001

"MSPub.exe"=dword:00000001

"Powerpnt.exe"=dword:00000001

"Visio.exe"=dword:00000001

"WinProj.exe"=dword:00000001

"WinWord.exe"=dword:00000001

"Wordpad.exe"=dword:00000001

将生存的文件后缀修改为.reg。

双击修改后的文件,导入注册表即可。

导入完成后建议重启所有打开的Office法式以确保设置生效。

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号