漏洞披露背景:
近日,微软安全团队在其官方博客中的披露了一个严重的高危0day漏洞(命名为:CVE-2023-36884)。该漏洞存在于多个Windows系统和Office产品中。
攻击技术细节:
根据官方描述,利用CVE-2023-36884漏洞构造恶意.docx文档的示例如下:
import win32com.client
doc = win32com.client.Dispatch("Word.Application")
doc.Visible = False
# 创建一个恶意宏
macro_code = '''
Sub MaliciousMacro()
' 在这里编写恶意代码,例如远程执行命令、窃取敏感数据等
MsgBox("您的计算机已被攻击!")
End Sub
'''
doc2 = doc.Documents.Add()
doc2.VBProject.VBComponents("ThisDocument").CodeModule.AddFromString(macro_code)
# 保存并关闭文档
doc2.SaveAs("恶意.docx")
doc2.Close()
# 打开恶意文档
doc3 = doc.Documents.Open(r"C:\path\to\恶意.docx")
doc3.Close()
doc.Quit()
防范建议:
从攻击代码示例来看,攻击者借助该漏洞的攻击对象很大程度上与文档类软件,文件有关联,因此建议单位,个人谨慎处理电子邮件:避免打开来自不明发件人的电子邮件中的附件,特别是Office文档。通过避免打开未知来源文件,可以降低受到该漏洞攻击的风险。
另外,及时更新操作系统和Office产品:确保及时部署最新安全补丁,以修复可能存在的漏洞。此外,使用可靠的病毒扫描软件进行定期扫描,并保持病毒库的最新状态以增强检测和清除恶意文档的能力。
同时,可以配置相关注册表项以减少利用风险:根据以下代码配置相关注册表项以阻止该漏洞的利用:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]
"Excel.exe"=dword:00000001
"Graph.exe"=dword:00000001
"MSAccess.exe"=dword:00000001
"MSPub.exe"=dword:00000001
"Powerpnt.exe"=dword:00000001
"Visio.exe"=dword:00000001
"WinProj.exe"=dword:00000001
"WinWord.exe"=dword:00000001
"Wordpad.exe"=dword:00000001
(该方法可以作为临时缓解的方法,后续微软官方也会及时发布相关补丁版本,建议及时更新最新版本)
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。