8827太阳集团

首页 > 关于8827太阳集团 > 新闻动态 > 产品动态

这个0day缝隙已被在野利用 8827太阳集团提供检测规划

颁布功夫 2023-07-24

近日，，，，，某用户处部署的8827太阳集团天阗威胁分析一体机（TAR）设备捕获到利用编号为 CVE-2023-36884高危0day缝隙的样本。。。。。。。截至目前，，，，，天阗威胁分析一体机（TAR）已现网共捕获9例在野利用。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

捕获的垂钓文档界面

据悉，，，，，该缝隙为微软于7月安全更新中披露的Office和Windows HTML远程代码执行缝隙，，，，，存在于多个Windows系统和Office产品钟祝。。。。。。天阗威胁分析一体机（TAR）已监测到缝隙信息披露前已产生在野利用：Storm-0978组织（又称RomCom组织）在对北约峰会的攻击中，，，，，利用该缝隙造作了以乌克兰世界大会为主题的钓饵文件，，，，，提议垂钓攻击。。。。。。。

缝隙攻击流程

CVE-2023-36884缝隙主题思路在于利用Microsoft Office文档OOXML规范中可代替体式块（Alternative Format Chunk）内嵌带有其他攻击组件的rtf文档实现Office防御机造绕过，，，，，能够共同其他缝隙实现无感知、无交互的远程代码执杏祝。。。。。。

早期垂钓攻击样本重要使用CVE-2017-0199、CVE-2021-40444、CVE-2022-30190等逻辑缝隙，，，，，后续攻击载荷远程获取�。。。。。。骞セ髁鞒瘫攘Ω丛印�。。。。。。

而这两周内陆续捕获到的无数攻击样本，，，，，内嵌的rtf均选取模板化的CVE-2017-11882，，，，，来执行rtf同时开释的PE文件。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

部门捕获样本不蕴含钓饵信息，，，，，并带有新的rtf混合技巧：利用rtf文件中蕴含的ole对象过程对16进造数据的长度限度，，，，，使静态解析过程数据错位，，，，，无法对齐还原原有ole对象，，，，，具备较强的免杀能力。。。。。。。

缝隙风险

在现实垂钓攻击中，，，，，该缝隙可用于绕过office安全机造及提供一层免杀，，，，，为其他office常用垂钓攻击缝隙提供了�；；；；；；；；た牵迪至宋薷兄⑽藿换サ脑冻檀胫葱校蠓档痛沟龉セ骼妹偶鳎阜ㄕ呖山衔崴傻亟胁馐杂霉セ髟睾纱嫖狢2工具，，，，，形成垂钓攻击入口，，，，，风险极大，，，，，必要做好防御措施。。。。。。。

8827太阳集团检测规划

1、文件还原检测

该缝隙共同其他office缝隙使用，，，，，用于垂钓邮件攻击。。。。。。。天阗威胁分析一体机（TAR）选取双向检测引擎，，，，，可对百余种文件进行还原，，，，，内置沙箱，，，，，可对常见百余种邮件附件体式进行还原和沙箱检测，，，，，同时具备提取正文密码破解能力，，，，，可自动使用邮件正文密码爆破压缩包附件，，，，，爆破成功后对附件及附件子文件进行检测。。。。。。。

2、行为检测

天阗威胁分析一体机（TAR）内置沙箱，，，，，除静态检测表，，，，，还可对office文件进行行为检测和缝隙利用检测。。。。。。。沙箱选取第三代硬件仿真技术，，，，，可对恶意样本进行糊弄，，，，，通过office文件执行行为，，，，，来判定恶意行为。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

行为检测告警界面

3、缓解措施

天阗威胁分析一体机（TAR）已支持CVE-2023-36884缝隙利用检测，，，，，请用户不要打开来历不明的office文档，，，，，已部署TAR用户可将可疑文德冯线上传到TAR设备检测。。。。。。。

本地缓解措施：

可配置有关注册表项来阻止有关缝隙被利用,步骤如下:

新建一个文本文档,输入如下内容并保留。。。。。。。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet

Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]

"Excel.exe"=dword:00000001

"Graph.exe"=dword:00000001

"MSAccess.exe"=dword:00000001

"MSPub.exe"=dword:00000001

"Powerpnt.exe"=dword:00000001

"Visio.exe"=dword:00000001

"WinProj.exe"=dword:00000001

"WinWord.exe"=dword:00000001

"Wordpad.exe"=dword:00000001

将保留的文件后缀批改为.reg。。。。。。。

双击批改后的文件,导入注册表即可。。。。。。。

导入实现后建议沉启所有打开的Office法式以确保设置生效。。。。。。。

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】