🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Categoria: Inteligência de vulnerabilidade
Classe de vulnerabilidade: Execução remota de código
ID DA CAVERNA: CVE-2023-36884
CVSS: 3.0 Pontuação: 8,3
Sumário executivo
- A Microsoft lançou um comunicado divulgando a vulnerabilidade de execução remota de código HTML explorada do Office e do Windows - CVE-2023-36884.
- A vulnerabilidade está sendo explorada ativamente pelo grupo de crimes cibernéticos Storm-0978, que foi detectado como envolvido em atividades de cibercrime e espionagem.
- A Storm-0978 é conhecida por desenvolver e distribuir o backdoor ROMCom nas redes de suas vítimas.
- A Microsoft recomenda as seguintes mitigações:
- Faça com que todos os aplicativos do Office criem processos secundários
- Defina o FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION chave de registro para evitar a exploração.
Análises
Enquanto a Microsoft ainda está investigando a causa raiz da vulnerabilidade, o estudo inicial sugere que:
- A exploração do CVE-2023-36884 exige que o usuário abra um documento malicioso.
- A abertura do arquivo malicioso leva ao download de um script que inicia a injeção de iframe, levando ao download da carga maliciosa final.
- A vulnerabilidade começa com arquivos OOXML hospedados remotamente, incluindo DOCX e formatos similares, que são estruturados internamente como arquivos ZIP. Dentro desses arquivos, um arquivo de definição de relacionamento baseado em XML desempenha um papel crucial, com atenção específica focada no relacionamento “AFChunk”. Amostras maliciosas mostram a exploração dessa relação incorporando arquivos RTF como meio de contrabando de carga útil. Esses arquivos RTF incorporados contêm vários objetos responsáveis pela execução de códigos maliciosos, levando ao download de malware. Notavelmente, dois objetos proeminentes são observados nos arquivos DOCX, a saber, um objeto OLE1 e um objeto CFB, ambos usados para explorar o processo de link “URLMoniker”.
- Estrutura do arquivo OOXML:
- Os arquivos OOXML, como o DOCX, são inerentemente estruturados como arquivos ZIP, fornecendo um meio conveniente de empacotar e armazenar vários componentes do documento.
- Definição de relacionamento baseada em XML:
- Dentro do arquivo DOCX, um arquivo XML serve como definição de relacionamento, facilitando o estabelecimento de conexões entre diferentes elementos do documento.
- Significado da relação “AfChunk”:
- De particular interesse é o relacionamento “AFChunk” definido no arquivo XML. Esse relacionamento permite a incorporação de um documento em outro, criando assim uma via para o contrabando de carga útil.
- Uso malicioso do método “AFChunk”:
- Foram observados casos de amostras maliciosas usando o método “AFChunk” para incorporar arquivos RTF em arquivos DOCX. Esse método serve como um veículo para entrega clandestina de carga útil.
- Objetos RTF e carregamento útil de malware:
- Embutidos nos arquivos RTF estão vários objetos que abrigam o código real responsável por facilitar o download e a execução de malware.
- Objeto OLE1 com caminho UNC:
- O objeto inicial encontrado é um objeto OLE1 contendo um caminho UNC (Convenção Universal de Nomenclatura) que leva a um endereço IP remoto. Após a execução, esse objeto recupera um arquivo .URL, exemplificado pelo caminho “\ ip_address\ to_evil\ payload.url”.
- Exploração do processo de link “URLMoniker”:
- O segundo objeto, um objeto CFB, explora o processo de link “URLMoniker”, promovendo a propagação da atividade maliciosa.
Mitigação
- Para evitar a exploração da vulnerabilidade, impeça que todos os aplicativos do Office criem processos secundários em sistemas de segurança de terminais.
- Defina a chave de registro FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION para evitar a exploração.
- Não é necessário reiniciar o sistema operacional, mas é recomendável reiniciar os aplicativos que tiveram a chave do registro adicionada, caso o valor já tenha sido consultado e esteja armazenado em cache.
- Observe que, embora essas configurações do registro reduzam a exploração desse problema, elas podem afetar a funcionalidade regular de certos casos de uso relacionados a esses aplicativos. Por esse motivo, sugerimos testar. Para desativar a mitigação, exclua a chave do registro ou defina-a como “0”.
- Computador\ HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Internet Explorer\ Main\ FeatureControl\ FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
- Adicione os seguintes nomes de aplicativos a essa chave de registro como valores do tipo “REG_DWORD” com dados “1".
- Excel.exe
- Graph.exe
- MSAccess.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
