MG冰球突破试玩

首页 > 关于MG冰球突破试玩 > 新闻动态 > 产品动态

这个0day误差已被在野使用 MG冰球突破试玩提供检测计划

宣布时间 2023-07-24

克日，，，，，，，某用户处安排的MG冰球突破试玩天阗威胁剖析一体机（TAR）装备捕获到使用编号为 CVE-2023-36884高危0day误差的样本。。。。。。。阻止现在，，，，，，，天阗威胁剖析一体机（TAR）已现网共捕获9例在野使用。。。。。。。

MG冰球突破试玩--手机版app官网

捕获的垂纶文档界面

据悉，，，，，，，该误差为微软于7月清静更新中披露的Office和Windows HTML远程代码执行误差，，，，，，，保存于多个Windows系统和Office产品中。。。。。。。天阗威胁剖析一体机（TAR）已监测到误差信息披露前已爆发在野使用：Storm-0978组织（又称RomCom组织）在对北约峰会的攻击中，，，，，，，使用该误差制作了以乌克兰天下大会为主题的诱饵文件，，，，，，，提倡垂纶攻击。。。。。。。

误差攻击流程

CVE-2023-36884误差焦点思绪在于使用Microsoft Office文档OOXML规范中可替换名堂块（Alternative Format Chunk）内嵌带有其他攻击组件的rtf文档完成Office防御机制绕过，，，，，，，可以配合其他误差实现无感知、无交互的远程代码执行。。。。。。。

早期垂纶攻击样本主要使用CVE-2017-0199、CVE-2021-40444、CVE-2022-30190等逻辑误差，，，，，，，后续攻击载荷远程获�。。。。。。。�，，，，，，整体攻击流程较量重大。。。。。。。

而这两周内陆续捕获到的大都攻击样本，，，，，，，内嵌的rtf均接纳模板化的CVE-2017-11882，，，，，，，来执行rtf同时释放的PE文件。。。。。。。

MG冰球突破试玩--手机版app官网

部分捕获样本不包括诱饵信息，，，，，，，并带有新的rtf混淆技巧：使用rtf文件中包括的ole工具历程对16进制数据的长度限制，，，，，，，使静态剖析历程数据错位，，，，，，，无法对齐还原原有ole工具，，，，，，，具备较强的免杀能力。。。。。。。

误差危害

在现实垂纶攻击中，，，，，，，该误差可用于绕过office清静机制及提供一层免杀，，，，，，，为其他office常用垂纶攻击误差提供了�；；；；た牵�，，，，，，实现了无感知、无交互的远程代码执行，，，，，，，大幅降低垂纶攻击使用门槛，，，，，，，不法者可较为轻松地将原有测试用攻击载荷替换为C2工具，，，，，，，形成垂纶攻击入口，，，，，，，危害极大，，，，，，，需要做好防御步伐。。。。。。。

MG冰球突破试玩检测计划

1、文件还原检测

该误差配合其他office误差使用，，，，，，，用于垂纶邮件攻击。。。。。。。天阗威胁剖析一体机（TAR）接纳双向检测引擎，，，，，，，可对百余种文件举行还原，，，，，，，内置沙箱，，，，，，，可对常见百余种邮件附件名堂举行还原和沙箱检测，，，，，，，同时具备提取正文密码破解能力，，，，，，，可自动使用邮件正文密码爆破压缩包附件，，，，，，，爆破乐成后对附件及附件子文件举行检测。。。。。。。

2、行为检测

天阗威胁剖析一体机（TAR）内置沙箱，，，，，，，除静态检测外，，，，，，，还可对office文件举行行为检测和误差使用检测。。。。。。。沙箱接纳第三代硬件仿真手艺，，，，，，，可对恶意样本举行诱骗，，，，，，，通过office文件执行行为，，，，，，，来判断恶意行为。。。。。。。

MG冰球突破试玩--手机版app官网

行为检测告警界面

3、缓解步伐

天阗威胁剖析一体机（TAR）已支持CVE-2023-36884误差使用检测，，，，，，，请用户不要翻开泉源不明的office文档，，，，，，，已安排TAR用户可将可疑文档离线上传到TAR装备检测。。。。。。。

外地缓解步伐：

可设置相关注册表项来阻止相关误差被使用,办法如下:

新建一个文本文档,输入如下内容并生涯。。。。。。。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet

Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]

"Excel.exe"=dword:00000001

"Graph.exe"=dword:00000001

"MSAccess.exe"=dword:00000001

"MSPub.exe"=dword:00000001

"Powerpnt.exe"=dword:00000001

"Visio.exe"=dword:00000001

"WinProj.exe"=dword:00000001

"WinWord.exe"=dword:00000001

"Wordpad.exe"=dword:00000001

将生涯的文件后缀修改为.reg。。。。。。。

双击修改后的文件,导入注册表即可。。。。。。。

导入完成后建议重启所有翻开的Office程序以确保设置生效。。。。。。。

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? MG冰球突破试玩版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】