CVE-2023-36884 - Office 和 Windows HTML 远程代码执行漏洞

2024年10月18日22:59:41评论19 views字数 1180阅读3分56秒阅读模式

CVE-2023-36884 - Office 和 Windows HTML 远程代码执行漏洞

远程代码执行（RCE）漏洞存在于Microsoft Office和Windows HTML中。该漏洞被标记为CVE-2023-36884，并且俄罗斯的威胁行为者Storm-0978（也被称为RomCom）正在利用该漏洞。该组织正在使用这个漏洞进行针对国防组织、以及欧洲和北美的政府组织的网络钓鱼活动。

Storm-0978正在通过与乌克兰世界大会相关的Windows文档传播一个名为RomCom的后门程序。Storm-0978专注于机会主义勒索软件、勒索和针对凭据窃取的活动，这可能与情报活动有关。根据Microsoft的说法，已经在电信和金融等行业发现了勒索软件攻击。

尽管Microsoft尚未发布CVE-2023-36884的补丁，但他们已经提供了一些建议，以帮助组织保护自己：

使用Microsoft Defender for Office 365的客户可以受到保护，以防止利用CVE-2023-36884的附件。
在当前攻击链中，使用“阻止所有Office应用程序创建子进程”攻击面缩减规则可以防止利用该漏洞。
无法利用这些保护措施的组织可以设置FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表键以避免被利用。请注意，尽管这些注册表设置可以减轻此问题的利用，但可能会影响与这些应用程序相关的某些常规功能。
将以下应用程序名称作为REG_DWORD类型的值添加到此注册表键中，数据为1：

ComputerHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftInternet ExplorerMainFeatureControlFEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION

CVE-2023-36884 - Office 和 Windows HTML 远程代码执行漏洞

参考：

https://github.com/Maxwitat/CVE-2023-36884-Scripts-for-Intune-Remediation-SCCM-Compliance-Baseline
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
https://blogs.blackberry.com/en/2023/07/romcom-targets-ukraine-nato-membership-talks-at-nato-summit
https://borncity.com/win/2023/07/13/html-rce-vulnerability-cve-2023-36884-allows-office-and-windows-system-takeover/

原文始发于微信公众号（Ots安全）：CVE-2023-36884 - Office 和 Windows HTML 远程代码执行漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

CVE-2023-36884 - Office 和 Windows HTML 远程代码执行漏洞

三星路由器WLAN-AP-WEA453e-未授权RCE等多个漏洞

UNACMS PHP对象注入漏洞(CVE-2025-32101)

MRCMS（蘑菇建站）跨站脚本漏洞及解决方法（CNVD-2025-05252、CVE-2025-2195）

【风险通告】PyTorch存在远程代码执行漏洞（CVE-2025-32434）

PyTorch 中存在严重的RCE漏洞

CVE-2025-22457：基于堆栈的远程缓冲区溢出的POC验证脚本

Kubernetes CVE-2025-1974 RCE POC

CVE-2025-27218｜Sitecore CMS远程代码执行漏洞

CentreStack 反序列化漏洞 (CVE-2025-30406)

Windows提权漏洞CVE-2025-21204

发表评论

在线咨询

微信