【简报】关于CVE-2023-36884漏洞威胁与防范建议

漏洞披露背景：

近日，微软安全团队在其官方博客中的披露了一个严重的高危0day漏洞（命名为：CVE-2023-36884）。该漏洞存在于多个Windows系统和Office产品中。

攻击技术细节：

根据官方描述，利用CVE-2023-36884漏洞构造恶意.docx文档的示例如下：

import win32com.client

doc = win32com.client.Dispatch("Word.Application")
doc.Visible = False

# 创建一个恶意宏
macro_code = '''
Sub MaliciousMacro()
    ' 在这里编写恶意代码，例如远程执行命令、窃取敏感数据等
    MsgBox("您的计算机已被攻击！")
End Sub
'''

doc2 = doc.Documents.Add()
doc2.VBProject.VBComponents("ThisDocument").CodeModule.AddFromString(macro_code)

# 保存并关闭文档
doc2.SaveAs("恶意.docx")
doc2.Close()

# 打开恶意文档
doc3 = doc.Documents.Open(r"C:\path\to\恶意.docx")
doc3.Close()
doc.Quit()

防范建议：

从攻击代码示例来看，攻击者借助该漏洞的攻击对象很大程度上与文档类软件，文件有关联，因此建议单位，个人谨慎处理电子邮件：避免打开来自不明发件人的电子邮件中的附件，特别是Office文档。通过避免打开未知来源文件，可以降低受到该漏洞攻击的风险。
另外，及时更新操作系统和Office产品：确保及时部署最新安全补丁，以修复可能存在的漏洞。此外，使用可靠的病毒扫描软件进行定期扫描，并保持病毒库的最新状态以增强检测和清除恶意文档的能力。
同时，可以配置相关注册表项以减少利用风险：根据以下代码配置相关注册表项以阻止该漏洞的利用：

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]
    "Excel.exe"=dword:00000001
    "Graph.exe"=dword:00000001
    "MSAccess.exe"=dword:00000001
    "MSPub.exe"=dword:00000001
    "Powerpnt.exe"=dword:00000001
    "Visio.exe"=dword:00000001
    "WinProj.exe"=dword:00000001
    "WinWord.exe"=dword:00000001
    "Wordpad.exe"=dword:00000001

（该方法可以作为临时缓解的方法，后续微软官方也会及时发布相关补丁版本，建议及时更新最新版本）