近日,在某用户的启明星辰(002439)天阗威胁分析一体机(TAR)设备中捕获到利用CVE-2023-36884高危0day漏洞的样本。
截至目前,天阗威胁分析一体机(TAR)已经捕获到9个在线利用样本。
根据报道,这个漏洞是微软在7月份的安全更新中披露的Office和Windows HTML远程代码执行漏洞,存在于多个Windows系统和Office产品中。
天阗威胁分析一体机(TAR)已经发现在漏洞信息披露之前已经有针对此漏洞的在线利用。Storm-0978组织(又称RomCom组织)在北约峰会的攻击中使用了该漏洞制作了以乌克兰世界大会为主题的诱饵文件,发起了钓鱼攻击。
该漏洞的核心思路是利用Microsoft Office文档OOXML规范中可替代格式块(Alternative Format Chunk),内嵌带有其他攻击组件的rtf文档,以绕过Office的防御机制,实现无感知、无交互的远程代码执行。它可以配合其他漏洞实现复杂的攻击流程。
早期的钓鱼攻击样本主要使用CVE-2017-0199、CVE-2021-40444、CVE-2022-30190等逻辑漏洞,后续的攻击载荷通过远程获取,整体的攻击流程非常复杂。
而最近两周捕获到的大多数攻击样本内嵌的rtf均采用模板化的CVE-2017-11882,用来执行rtf同时释放的PE文件。
部分捕获样本不包含诱饵信息,并采用新的rtf混淆技巧:利用rtf文件中包含的ole对象过程对16进制数据的长度限制,使静态解析过程中的数据错位,无法对齐还原原有的ole对象,从而具备较强的免杀能力。
在实际的钓鱼攻击中,该漏洞可以绕过Office的安全机制,并提供一层免杀功能,为其他常见的Office钓鱼攻击漏洞提供保护,实现无感知、无交互的远程代码执行,大大降低了钓鱼攻击的利用门槛,非法分子可以轻松地将原有的测试用攻击载荷替换为C2工具,形成钓鱼攻击的入口,具有极大的危害,需要采取防御措施。
启明星辰提供以下检测方案:
文件还原检测:该漏洞通常与其他Office漏洞一起使用,用于钓鱼邮件攻击。天阗威胁分析一体机(TAR)采用双向检测引擎,可以对上百种文件进行还原,内置沙箱,可以对上百种常见邮件附件格式进行还原和沙箱检测,同时可以提取正文密码进行破解,自动使用邮件正文密码对压缩包附件进行爆破,在爆破成功后进行检测。
行为检测:天阗威胁分析一体机(TAR)内置沙箱,除了静态检测之外,还可以对Office文件进行行为检测和漏洞利用检测。沙箱采用第三代硬件仿真技术,可以对恶意样本进行欺骗,通过执行Office文件的行为来判断是否存在恶意行为。
缓解措施:天阗威胁分析一体机(TAR)已经支持CVE-2023-36884漏洞的利用检测,请用户不要打开来源不明的Office文档,已部署TAR设备的用户可以将可疑文档离线上传到TAR设备进行检测。
本地缓解措施:可以配置相关注册表项来阻止相关漏洞的利用。具体步骤如下:新建一个文本文档,输入以上内容并保存,将保存的文件后缀修改为.reg,双击修改后的文件,导入注册表即可。完成导入后建议重启所有打开的Office程序,以确保设置生效。