首頁 > 關于我們 > 新聞動態 > 產品動態

這個0day漏洞已被在野利用 啟明星辰提供檢測方案

發布時間 2023-07-24
近日,某用戶處部署的啟明星辰天闐威脅分析一體機(TAR)設備捕獲到利用編號為 CVE-2023-36884高危0day漏洞的樣本。截至目前,天闐威脅分析一體機(TAR)已現網共捕獲9例在野利用。


捕獲的釣魚文檔界面


據悉,該漏洞為微軟于7月安全更新中披露的Office和Windows HTML遠程代碼執行漏洞,存在于多個Windows系統和Office產品中。天闐威脅分析一體機(TAR)已監測到漏洞信息披露前已發生在野利用:Storm-0978組織(又稱RomCom組織)在對北約峰會的攻擊中,利用該漏洞制作了以烏克蘭世界大會為主題的誘餌文件,發起釣魚攻擊。


 漏洞攻擊流程 


CVE-2023-36884漏洞核心思路在于利用Microsoft Office文檔OOXML規范中可替代格式塊(Alternative Format Chunk)內嵌帶有其他攻擊組件的rtf文檔完成Office防御機制繞過,可以配合其他漏洞實現無感知、無交互的遠程代碼執行。


早期釣魚攻擊樣本主要使用CVE-2017-0199、CVE-2021-40444、CVE-2022-30190等邏輯漏洞,后續攻擊載荷遠程獲取,整體攻擊流程比較復雜。


而這兩周內陸續捕獲到的多數攻擊樣本,內嵌的rtf均采用模板化的CVE-2017-11882,來執行rtf同時釋放的PE文件。



部分捕獲樣本不包含誘餌信息,并帶有新的rtf混淆技巧:利用rtf文件中包含的ole對象過程對16進制數據的長度限制,使靜態解析過程數據錯位,無法對齊還原原有ole對象,具備較強的免殺能力。


漏洞危害 


在實際釣魚攻擊中,該漏洞可用于繞過office安全機制及提供一層免殺,為其他office常用釣魚攻擊漏洞提供了保護殼,實現了無感知、無交互的遠程代碼執行,大幅降低釣魚攻擊利用門檻,非法者可較為輕松地將原有測試用攻擊載荷替換為C2工具,形成釣魚攻擊入口,危害極大,需要做好防御措施。


 啟明星辰檢測方案 


1、文件還原檢測


該漏洞配合其他office漏洞使用,用于釣魚郵件攻擊。天闐威脅分析一體機(TAR)采用雙向檢測引擎,可對百余種文件進行還原,內置沙箱,可對常見百余種郵件附件格式進行還原和沙箱檢測,同時具備提取正文密碼破解能力,可自動使用郵件正文密碼爆破壓縮包附件,爆破成功后對附件及附件子文件進行檢測。


2、行為檢測


天闐威脅分析一體機(TAR)內置沙箱,除靜態檢測外,還可對office文件進行行為檢測和漏洞利用檢測。沙箱采用第三代硬件仿真技術,可對惡意樣本進行欺騙,通過office文件執行行為,來判定惡意行為。


行為檢測告警界面


3、緩解措施


天闐威脅分析一體機(TAR)已支持CVE-2023-36884漏洞利用檢測,請用戶不要打開來歷不明的office文檔,已部署TAR用戶可將可疑文檔離線上傳到TAR設備檢測。


本地緩解措施:


可配置相關注冊表項來阻止相關漏洞被利用,步驟如下:


新建一個文本文檔,輸入如下內容并保存。


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet

Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]

"Excel.exe"=dword:00000001

"Graph.exe"=dword:00000001

"MSAccess.exe"=dword:00000001

"MSPub.exe"=dword:00000001

"Powerpnt.exe"=dword:00000001

"Visio.exe"=dword:00000001

"WinProj.exe"=dword:00000001

"WinWord.exe"=dword:00000001

"Wordpad.exe"=dword:00000001


將保存的文件后綴修改為.reg。


雙擊修改后的文件,導入注冊表即可。


導入完成后建議重啟所有打開的Office程序以確保設置生效。

上一篇 下一篇