7月11日，微软于7月安全更新中披露了Office和Windows HTML远程代码执行漏洞CVE-2023-36884。网御星云监测到漏洞在信息披露前已发生在野利用，Storm-0978组织（又称RomCom组织）对北约峰会的攻击中，利用该漏洞制作了以乌克兰世界大会为主题的诱饵文件，发起钓鱼攻击。

7月14日，某客户部署的网御威胁分析一体机（简称TAR）设备捕获到该漏洞的样本，截止7月20日现网共捕获9例在野利用。捕获的钓鱼文档界面如下：

CVE-2023-36884漏洞攻击流程

CVE-2023-36884漏洞的核心在于利用Microsoft Office文档OOXML规范中可替代格式块（Alternative Format Chunk）内嵌带有其他攻击组件的rtf文档，从而完成Office防御机制绕过，配合其他漏洞实现无感知无交互的远程代码执行。

早期钓鱼攻击样本主要使用CVE-2017-0199、CVE-2021-40444、CVE-2022-30190等逻辑漏洞，后续攻击从远端拉取，整体攻击流程比较复杂。

而这两周内捕获到的多数攻击样本，内嵌的rtf均采用模板化的CVE-2017-11882，在执行rtf的同时释放PE文件。如下图：

部分捕获样本不包含诱饵信息且带有新的rtf混淆技巧：利用 rtf文件中包含的ole对象过程对16进制数据的长度进行限制，导致静态解析过程数据错位，无法对齐还原原有ole对象，具备较强的免杀能力。

CVE-2023-36884漏洞危害

在实际钓鱼攻击中，该漏洞可用于绕过office安全机制并自带一层免杀，为其他office常用钓鱼攻击漏洞提供保护壳，实现无感知无交互的远程代码执行。大幅降低了钓鱼攻击利用门槛，攻击者可以轻松的将原有测试用攻击载荷替换为C2工具，形成钓鱼攻击入口。危害极大，需要做好防御措施。

如何检测CVE-2023-36884

1.文件还原检测

该漏洞配合其他office漏洞使用，用于钓鱼邮件攻击。网御威胁分析一体机（简称TAR）采用双向检测引擎，内置沙箱，可对常见百余种邮件附件格式进行还原和沙箱检测，同时具备提取正文密码破解能力，可自动使用邮件正文密码解压压缩包附件，爆破成功后对附件及附件子文件进行检测。

2.行为检测

网御威胁分析一体机（简称TAR）内置沙箱，除静态检测外，还可对office文件进行行为检测和漏洞利用检测，沙箱采用第三代硬件仿真技术，可对恶意样本进行欺骗，通过office文件执行来判定恶意行为。

行为检测告警界面

3.解决方案

网御威胁分析一体机（简称TAR）已支持CVE-2023-36884漏洞利用检测，在此提醒用户不要打开来历不明的office文档，已部署TAR的用户可将可疑文档离线上传到TAR设备检测。

本地缓解措施：

可配置相关注册表项阻止相关漏洞被利用,步骤如下:

新建一个文本文档,输入如下内容并保存：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]

"Excel.exe"=dword:00000001

"Graph.exe"=dword:00000001

"MSAccess.exe"=dword:00000001

"MSPub.exe"=dword:00000001

"Powerpnt.exe"=dword:00000001

"Visio.exe"=dword:00000001

"WinProj.exe"=dword:00000001

"WinWord.exe"=dword:00000001

"Wordpad.exe"=dword:00000001

将保存的文件后缀修改为.reg。

双击修改后的文件,导入注册表即可。

导入完成后建议重启所有打开的Office程序以确保设置生效。