除了 2023 年 7 月的 Windows 更新外,微软还透露了在野外检测到的0day 漏洞的存在,并为其分配了CVE-2023-36884。在没有发布补丁的情况下,他们将最初的通报命名为“Office 和 Windows HTML RCE 漏洞”,因为利用是使用恶意 Word 文档执行的,并提供了可以阻止利用的解决方法。
公开的信息非常少,而自称知情者引用的漏洞利用样本似乎很复杂,其中包括许多对旧已知漏洞的利用。有用信息的主要来源是安全研究员威尔·多尔曼(Will Dormann),他投入了大量精力公开剖析其中许多样本,并审查大量来源,以仔细区分小麦和谷壳(请参阅他的超长 Twitter 帖子)。
由于缺乏有关漏洞本身的足够信息,我们最初决定发布一个补丁,实施 Microsoft 推荐的最有效的解决方法之一 -针对所有 Office 可执行文件的FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION缓解措施。该补丁对所有人免费,因为问题仍然是未修补的 0day - 在所有 0patch 客户的计算机上启用了上述解决方法,因此他们不必手动执行此操作(甚至不需要知道这个 0day)。
官方补丁
8 月,微软终于提供了 CVE-2023-36884 的补丁,并更新了他们的通报,揭示了问题出在 Microsoft 搜索中,并且“攻击者可以植入规避 Web 标记 (MOTW) 防御的恶意文件,从而导致在受害者系统上执行代码。”
结合Will 对 Windows ZIP 文件提取中行为变化的分析(实际上主要是后者),我们得出结论:Microsoft 的 CVE-2023-36884 补丁重点是随机化 ZIP 存档文件所在的临时路径。提取的。在 8 月更新之前,直接从archive.zip ZIP 文件打开的file.txt文件将被提取到如下位置:
C:UsersnameAppDataLocalTempTemp1_archive.zipfile.txt
对于在用户计算机上运行的本地漏洞利用脚本来说,这是一个可预测的位置,如果漏洞利用代码在正确的时间终止了提取过程,则即使 ZIP 文件来自 Windows,Windows 也不会在文件上放置 Web 标记 (MotW)来自互联网,不应被信任。如果提取的文件上没有此标记,稍后打开该文件时将不会出现安全警告。(在实际的利用中,提取的文件将是在没有任何警告的情况下启动的可执行文件。)
八月 Windows 更新后,文件提取有所不同。相同的文件将被提取到此位置:
C:Users用户名AppDataLocalTempTemp 1710d72f-7438-40d0-be9b-52f7e0651fe9 _archive.zipfile.txt
因此添加的 GUID 部分是随机的并且每次都不同。这会阻止利用,因为利用代码无法猜测提取文件的正确路径,因此无法启动它。
我们在zipfldr.dll的CTempFileNameArray::_TryCreatingInPath函数内找到了引入此更改的 Microsoft 补丁。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...