用于 Windows Search 远程代码执行的微补丁 (CVE-2023-36884)
2023-9-9 10:41:44 Author: Ots安全(查看原文) 阅读量:19 收藏

除了 2023 年 7 月的 Windows 更新外,微软还透露了在野外检测到的0day 漏洞的存在,并为其分配了CVE-2023-36884。在没有发布补丁的情况下,他们将最初的通报命名为“Office 和 Windows HTML RCE 漏洞”,因为利用是使用恶意 Word 文档执行的,并提供了可以阻止利用的解决方法。

公开的信息非常少,而自称知情者引用的漏洞利用样本似乎很复杂,其中包括许多对旧已知漏洞的利用。有用信息的主要来源是安全研究员威尔·多尔曼(Will Dormann),他投入了大量精力公开剖析其中许多样本,并审查大量来源,以仔细区分小麦和谷壳(请参阅他的超长 Twitter 帖子)。

由于缺乏有关漏洞本身的足够信息,我们最初决定发布一个补丁,实施 Microsoft 推荐的最有效的解决方法之一 -针对所有 Office 可执行文件的FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION缓解措施。该补丁对所有人免费,因为问题仍然是未修补的 0day - 在所有 0patch 客户的计算机上启用了上述解决方法,因此他们不必手动执行此操作(甚至不需要知道这个 0day)。

官方补丁

8 月,微软终于提供了 CVE-2023-36884 的补丁,并更新了他们的通报,揭示了问题出在 Microsoft 搜索中,并且“攻击者可以植入规避 Web 标记 (MOTW) 防御的恶意文件,从而导致在受害者系统上执行代码。”

结合Will 对 Windows ZIP 文件提取中行为变化的分析(实际上主要是后者),我们得出结论:Microsoft 的 CVE-2023-36884 补丁重点是随机化 ZIP 存档文件所在的临时路径。提取的。在 8 月更新之前,直接从archive.zip ZIP 文件打开的file.txt文件将被提取到如下位置:

C:\Users\name\AppData\Local\Temp\Temp1_archive.zip\file.txt

对于在用户计算机上运行的本地漏洞利用脚本来说,这是一个可预测的位置,如果漏洞利用代码在正确的时间终止了提取过程,则即使 ZIP 文件来自 Windows,Windows 也不会在文件上放置 Web 标记 (MotW)来自互联网,不应被信任。如果提取的文件上没有此标记,稍后打开该文件时将不会出现安全警告。(在实际的利用中,提取的文件将是在没有任何警告的情况下启动的可执行文件。)

八月 Windows 更新后,文件提取有所不同。相同的文件将被提取到此位置:

C:\Users\用户名\AppData\Local\Temp\Temp 1710d72f-7438-40d0-be9b-52f7e0651fe9 _archive.zip\file.txt

因此添加的 GUID 部分是随机的并且每次都不同。这会阻止利用,因为利用代码无法猜测提取文件的正确路径,因此无法启动它。

我们在zipfldr.dll的CTempFileNameArray::_TryCreatingInPath函数内找到了引入此更改的 Microsoft 补丁。

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247501295&idx=2&sn=f124b0a8ff21ba000248210144475d22&chksm=9bad8ca4acda05b20f223b3cbb4a2264bf996285f5f4311329eb97b0efef9f6f9b20cddd28c3&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh