万利国际官网

首页 > 关于万利国际官网 > 新闻动态 > 产品动态

这个0day误差已被在野使用万利国际官网提供检测计划

宣布时间 2023-07-24

克日，，，，，，，，某用户处安排的万利国际官网天阗威胁剖析一体机（TAR）装备捕获到使用编号为 CVE-2023-36884高危0day误差的样本。。。。。阻止现在，，，，，，，，天阗威胁剖析一体机（TAR）已现网共捕获9例在野使用。。。。。

万利国际官网(中国游)有限公司

捕获的垂纶文档界面

据悉，，，，，，，，该误差为微软于7月清静更新中披露的Office和Windows HTML远程代码执行误差，，，，，，，，保存于多个Windows系统和Office产品中。。。。。天阗威胁剖析一体机（TAR）已监测到误差信息披露前已爆发在野使用：Storm-0978组织（又称RomCom组织）在对北约峰会的攻击中，，，，，，，，使用该误差制作了以乌克兰天下大会为主题的诱饵文件，，，，，，，，提倡垂纶攻击。。。。。

误差攻击流程

CVE-2023-36884误差焦点思绪在于使用Microsoft Office文档OOXML规范中可替换名堂块（Alternative Format Chunk）内嵌带有其他攻击组件的rtf文档完成Office防御机制绕过，，，，，，，，可以配合其他误差实现无感知、无交互的远程代码执行。。。。。

早期垂纶攻击样本主要使用CVE-2017-0199、CVE-2021-40444、CVE-2022-30190等逻辑误差，，，，，，，，后续攻击载荷远程获取，，，，，，，，整体攻击流程较量重大。。。。。

而这两周内陆续捕获到的大都攻击样本，，，，，，，，内嵌的rtf均接纳模板化的CVE-2017-11882，，，，，，，，来执行rtf同时释放的PE文件。。。。。

万利国际官网(中国游)有限公司

部分捕获样本不包括诱饵信息，，，，，，，，并带有新的rtf混淆技巧：使用rtf文件中包括的ole工具历程对16进制数据的长度限制，，，，，，，，使静态剖析历程数据错位，，，，，，，，无法对齐还原原有ole工具，，，，，，，，具备较强的免杀能力。。。。。

误差危害

在现实垂纶攻击中，，，，，，，，该误差可用于绕过office清静机制及提供一层免杀，，，，，，，，为其他office常用垂纶攻击误差提供了�；；；；；；た�，，，，，，，，实现了无感知、无交互的远程代码执行，，，，，，，，大幅降低垂纶攻击使用门槛，，，，，，，，不法者可较为轻松地将原有测试用攻击载荷替换为C2工具，，，，，，，，形成垂纶攻击入口，，，，，，，，危害极大，，，，，，，，需要做好防御步伐。。。。。

万利国际官网检测计划

1、文件还原检测

该误差配合其他office误差使用，，，，，，，，用于垂纶邮件攻击。。。。。天阗威胁剖析一体机（TAR）接纳双向检测引擎，，，，，，，，可对百余种文件举行还原，，，，，，，，内置沙箱，，，，，，，，可对常见百余种邮件附件名堂举行还原和沙箱检测，，，，，，，，同时具备提取正文密码破解能力，，，，，，，，可自动使用邮件正文密码爆破压缩包附件，，，，，，，，爆破乐成后对附件及附件子文件举行检测。。。。。

2、行为检测

天阗威胁剖析一体机（TAR）内置沙箱，，，，，，，，除静态检测外，，，，，，，，还可对office文件举行行为检测和误差使用检测。。。。。沙箱接纳第三代硬件仿真手艺，，，，，，，，可对恶意样本举行诱骗，，，，，，，，通过office文件执行行为，，，，，，，，来判断恶意行为。。。。。

万利国际官网(中国游)有限公司

行为检测告警界面

3、缓解步伐

天阗威胁剖析一体机（TAR）已支持CVE-2023-36884误差使用检测，，，，，，，，请用户不要翻开泉源不明的office文档，，，，，，，，已安排TAR用户可将可疑文档离线上传到TAR装备检测。。。。。

外地缓解步伐：

可设置相关注册表项来阻止相关误差被使用,办法如下:

新建一个文本文档,输入如下内容并生涯。。。。。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet

Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]

"Excel.exe"=dword:00000001

"Graph.exe"=dword:00000001

"MSAccess.exe"=dword:00000001

"MSPub.exe"=dword:00000001

"Powerpnt.exe"=dword:00000001

"Visio.exe"=dword:00000001

"WinProj.exe"=dword:00000001

"WinWord.exe"=dword:00000001

"Wordpad.exe"=dword:00000001

将生涯的文件后缀修改为.reg。。。。。

双击修改后的文件,导入注册表即可。。。。。

导入完成后建议重启所有翻开的Office程序以确保设置生效。。。。。

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 万利国际官网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】