CVE-2023-36884 – Office和Windows HTML远程代码执行漏洞

作者： Yann Lehmann 和 Harish Segar（Kudelski安全威胁检测与研究团队）

摘要

7月11日，微软披露了一个影响Windows和Office产品的远程代码执行（RCE）漏洞CVE-2023-36884，CVSS评分为8.3分。截至撰写时，该漏洞尚未修补且已被利用，微软正在调查后续措施。

微软表示：“攻击者可以创建特制的Microsoft Office文档，使其能够在受害者环境中执行远程代码。但是，攻击者必须说服受害者打开恶意文件。”

这意味着在执行RCE之前需要用户交互。此外，Crowdstrike确认他们有针对这些行为的检测和预防逻辑，微软表示使用Microsoft Defender for Office的客户可以免受试图利用此漏洞的附件攻击。

受影响应用程序

微软建议以下应用程序会受到影响：

Excel.exe
Graph.exe
MSAccess.exe
MSPub.exe
Powerpnt.exe
Visio.exe
WinProj.exe
WinWord.exe
Wordpad.exe

技术细节

该漏洞的技术细节公开信息并不十分详细，但攻击者通过从受影响应用程序列表中制作特定文档，利用了Microsoft Windows本机URL处理程序的滥用。

临时解决方法和缓解措施

微软推荐以下解决方法。虽然这些补偿控制可以减轻利用，但它们也可能影响与这些应用程序相关的某些用例的常规功能。因此，在广泛部署更改之前进行测试非常重要。

利用攻击面减少规则阻止所有Office应用程序创建子进程
为受影响的应用程序将FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项设置为1以避免利用

您可以使用以下PowerShell代码编辑注册表项：

1
2
3
4
5
6
7
8
9


$registryPath = "HKLM:\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION"
$applications = @("Excel.exe", "Graph.exe", "MSAccess.exe", "MSPub.exe", "PowerPnt.exe", "Visio.exe", "WinProj.exe", "WinWord.exe", "Wordpad.exe")

if (!(Test-Path -Path $registryPath)) {
    New-Item -Path $registryPath -Force | Out-Null
}
foreach ($app in $applications) {
    Set-ItemProperty -Path $registryPath -Name $app -Value 1 -Type DWord
}

由于需要用户交互，最好的方法是提高用户对该风险的认识，使他们不与恶意样本交互。

检测指南

最早的样本是将Word文档以.url扩展名写入磁盘，这可以被使用，因为它不常见。

观察显示，完全利用的有效载荷还会将奇怪的RTF、CHM或ZIP文件写入磁盘，这些也可以进行搜寻。

网络融合中心（CFC）的行动

CFC正在调查开展威胁搜寻活动的可能性，以识别此漏洞的成功利用，使用内部查询和方法论为我们的客户提供服务。一旦启动，您将在客户门户中看到它出现。

CVE-2023-36884 - Office与Windows HTML远程代码执行漏洞深度解析

本文详细分析了CVE-2023-36884漏洞的技术细节，这是一个影响Windows和Office产品的远程代码执行漏洞，CVSS评分8.3分。文章包含受影响应用程序列表、临时缓解措施、PowerShell修复脚本和检测指南。