OG东方厅

首页 > 关于OG东方厅 > 新闻动态 > 产品动态

这个0day缝隙已被在野利用 OG东方厅提供检测规划

颁布功夫 2023-07-24

近日，，某用户处部署的OG东方厅天阗威胁分析一体机（TAR）设备捕获到利用编号为 CVE-2023-36884高危0day缝隙的样本。截至目前，，天阗威胁分析一体机（TAR）已现网共捕获9例在野利用。

OG东方厅·(中国大陆)

捕获的垂钓文档界面

据悉，，该缝隙为微软于7月安全更新中披露的Office和Windows HTML远程代码执行缝隙，，存在于多个Windows系统和Office产品中。天阗威胁分析一体机（TAR）已监测到缝隙信息披露前已产生在野利用：Storm-0978组织（又称RomCom组织）在对北约峰会的攻击中，，利用该缝隙制作了以乌克兰世界大会为主题的钓饵文件，，提议垂钓攻击。

缝隙攻击流程

CVE-2023-36884缝隙主题思路在于利用Microsoft Office文档OOXML规范中可代替体式块（Alternative Format Chunk）内嵌带有其他攻击组件的rtf文档实现Office防御机制绕过，，能够共同其他缝隙实现无感知、、、无交互的远程代码执行。

早期垂钓攻击样本重要使用CVE-2017-0199、、、CVE-2021-40444、、、CVE-2022-30190等逻辑缝隙，，后续攻击载荷远程获取，，整体攻击流程比力复杂。

而这两周内陆续捕获到的无数攻击样本，，内嵌的rtf均选取模板化的CVE-2017-11882，，来执行rtf同时开释的PE文件。

OG东方厅·(中国大陆)

部门捕获样本不蕴含钓饵信息，，并带有新的rtf混合技巧：利用rtf文件中蕴含的ole对象过程对16进制数据的长度限度，，使静态解析过程数据错位，，无法对齐还原原有ole对象，，具备较强的免杀能力。

缝隙风险

在现实垂钓攻击中，，该缝隙可用于绕过office安全机制及提供一层免杀，，为其他office常用垂钓攻击缝隙提供了�；；；た�，，实现了无感知、、、无交互的远程代码执行，，大幅降低垂钓攻击利用门槛，，犯法者可较为轻松地将原有测试用攻击载荷代替为C2工具，，形成垂钓攻击入口，，风险极大，，必要做好防御措施。

OG东方厅检测规划

1、、、文件还原检测

该缝隙共同其他office缝隙使用，，用于垂钓邮件攻击。天阗威胁分析一体机（TAR）选取双向检测引擎，，可对百余种文件进行还原，，内置沙箱，，可对常见百余种邮件附件体式进行还原和沙箱检测，，同时具备提取正文密码破解能力，，可自动使用邮件正文密码爆破压缩包附件，，爆破成功后对附件及附件子文件进行检测。

2、、、行为检测

天阗威胁分析一体机（TAR）内置沙箱，，除静态检测外，，还可对office文件进行行为检测和缝隙利用检测。沙箱选取第三代硬件仿真技术，，可对恶意样本进行糊弄，，通过office文件执行行为，，来判定恶意行为。

OG东方厅·(中国大陆)

行为检测告警界面

3、、、缓解措施

天阗威胁分析一体机（TAR）已支持CVE-2023-36884缝隙利用检测，，请用户不要打开来历不明的office文档，，已部署TAR用户可将可疑文档离线上传到TAR设备检测。

本地缓解措施：

可配置有关注册表项来阻止有关缝隙被利用,步骤如下:

新建一个文本文档,输入如下内容并保留。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet

Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]

"Excel.exe"=dword:00000001

"Graph.exe"=dword:00000001

"MSAccess.exe"=dword:00000001

"MSPub.exe"=dword:00000001

"Powerpnt.exe"=dword:00000001

"Visio.exe"=dword:00000001

"WinProj.exe"=dword:00000001

"WinWord.exe"=dword:00000001

"Wordpad.exe"=dword:00000001

将保留的文件后缀批改为.reg。

双击批改后的文件,导入注册表即可。

导入实现后建议重启所有打开的Office法式以确保设置生效。

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合众数据书生电子云子可信

司法申明

Copyright ? OG东方厅版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】