微软修复针对NATO峰会参与者的远程代码执行漏洞

关键要点

微软正在修复一个远程代码执行RCE漏洞，该漏洞影响多个Windows和Office产品，并已被用于针对NATO峰会的参与者。此漏洞名为CVE202336884，可能将导致恶意软件RomCom的利用。微软表示将根据客户需求决定是否提前发布修复补丁。本月的Patch Tuesday中，微软还修复了其他四个被积极利用的零日漏洞。

微软正在修复一个被积极利用的远程代码执行RCE漏洞，此漏洞影响多款Windows和Office产品，而且已被用于针对本周在立陶宛举行的NATO峰会参与者。该漏洞的公开是微软在繁忙的七月Patch Tuesday发布的一部分，期间警告了6个零日漏洞和132个安全缺陷。

根据研究人员的说法，七月RCE漏洞的受害目标似乎是对乌克兰加入NATO抱有同情的峰会参与者。这些目标在一场旨在利用微软漏洞的钓鱼攻击中受到攻击，恶意软件RomCom使攻击者可以远程执行目标系统上的代码。

微软表示依然在研究该漏洞CVE202336884，但它明确指出会认真对待此漏洞，并可能根据客户需求提前发布修复，而不是仅依赖月度补丁发布。

RCE 漏洞与NATO的关联

黑莓的威胁研究与情报团队上周宣布，他们发现了两个恶意的乌克兰世界大会文档，这些文档是向支持乌克兰抵抗俄罗斯的人士发送的诱饵，此外还有针对可能支持乌克兰的NATO峰会参与者的文档。

黑莓研究人员认为，威胁行为者RomCom可能是该钓鱼活动的幕后黑手。微软在一篇周二发布的文章中也将该活动归因于RomCom，并将其追踪为Storm0978。

微软在其文章中提到：“Storm0978运营、开发并分发RomCom后门。同时，攻击者还部署与2022年5月首次发现的Industrial Spy勒索软件密切相关的Underground勒索软件。”

“在2023年6月检测到的该行为者的最新活动中，利用CVE202336884交付一个与RomCom相似的后门。”

立即的缓解措施

微软表示正在继续研究这一RCE漏洞，并将在调查完成后“采取适当行动以帮助保护我们的客户”。

“这可能包括通过我们的月度发布过程提供安全更新，或者根据客户需求提供非周期性的安全更新，”公司表示。

同时，使用Defender for Office 365解决方案的客户可以利用其“阻止所有Office应用程序创建子进程”的规则来保护其系统免受利用此漏洞的附件攻击。

其他组织可以通过设置FEATUREBLOCKCROSSPROTOCOLFILENAVIGATION注册表项来避免此漏洞的利用，但微软警告说，这项注册表设置可能会影响Office应用程序的正常运行。

其他四个零日漏洞的修复

本月的Patch Tuesday发布中，微软还修复了另外四个被积极利用的零日漏洞。

黑洞加速npv下载漏洞名称CVE 编号CVSS v3 评分描述Outlook安全特性旁路漏洞CVE20233531188允许攻击者绕过Outlook安全通知