7月11日,微软披露了一个高危0day漏洞,编号为 CVE-2023-36884,该漏洞存在于多个Windows系统和Office产品中。微软发布紧急公告称,已发现有俄方背景的APT组织正在利用该漏洞以北约峰会名义对北美及欧洲国家的国防和政府部门发起攻击。微软表示可能会在下个月的补丁日之前发布紧急带外补丁。
漏洞介绍:
CVE-2023-36884为Office和Windows HTML远程执行代码漏洞,攻击者可以通过伪造的.docx 或.rtf文档来发起远程代码执行攻击。一旦攻击成功,攻击者即可通过恶意代码访问或窃取受害者电脑内各类敏感信息,关闭系统保护下载或执行任意代码等。
瑞星公司提醒:
攻击者会利用CVE-2023-36884漏洞来构造恶意的Office文档,并通过邮件等方式进行传播,以诱导受害者打开邮件并下载文档。一旦文档被打开,会立刻执行其中的恶意代码,受害者将被远程攻击。
防范建议:
1. 不要打开陌生电子邮件中的Office文档,可以有效规避攻击者利用该漏洞发起的攻击。
2. 更新瑞星旗下的安全产品至最新。瑞星已经为该漏洞利用代码创建了病毒签名,相关的恶意文档已经都可以被检测。
图:瑞星产品已可检测并查杀相关病毒
3. 参考微软的建议,配置相关注册表项来阻止相关漏洞被利用,步骤如下:
新建一个文本文档,输入如下内容并保存。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]
"Excel.exe"=dword:00000001
"Graph.exe"=dword:00000001
"MSAccess.exe"=dword:00000001
"MSPub.exe"=dword:00000001
"Powerpnt.exe"=dword:00000001
"Visio.exe"=dword:00000001
"WinProj.exe"=dword:00000001
"WinWord.exe"=dword:00000001
"Wordpad.exe"=dword:00000001
将保存的文件后缀修改为.reg。
双击修改后的文件,导入注册表即可。
导入完成后建议重启所有打开的Office程序以确保设置生效。