微软修补了4个积极利用的零日漏洞

微软修复针对NATO峰会参与者的远程代码执行漏洞

关键要点

  • 微软正在修复一个远程代码执行(RCE)漏洞,该漏洞影响多个Windows和Office产品,并已被用于针对NATO峰会的参与者。
  • 此漏洞名为,可能将导致恶意软件RomCom的利用。
  • 微软表示将根据客户需求决定是否提前发布修复补丁。
  • 本月的Patch Tuesday中,微软还修复了其他四个被积极利用的零日漏洞。

微软正在修复一个被积极利用的远程代码执行(RCE)漏洞,此漏洞影响多款Windows和Office产品,而且已被用于针对本周在立陶宛举行的NATO峰会参与者。该漏洞的公开是微软在繁忙的七月PatchTuesday发布的一部分,期间警告了6个零日漏洞和132个安全缺陷。

根据研究人员的说法,七月RCE漏洞的受害目标似乎是对乌克兰加入NATO抱有同情的峰会参与者。这些目标在一场旨在利用微软漏洞的中受到攻击,恶意软件RomCom使攻击者可以远程执行目标系统上的代码。

微软表示依然在研究该漏洞,但它明确指出会认真对待此漏洞,并可能根据客户需求提前发布修复,而不是仅依赖月度补丁发布。

RCE 漏洞与NATO的关联

黑莓的威胁研究与情报团队,他们发现了两个恶意的乌克兰世界大会文档,这些文档是向支持乌克兰抵抗俄罗斯的人士发送的诱饵,此外还有针对可能支持乌克兰的NATO峰会参与者的文档。

黑莓研究人员认为,威胁行为者可能是该钓鱼活动的幕后黑手。微软在一篇也将该活动归因于RomCom,并将其追踪为Storm-0978。

微软在其文章中提到:“Storm-0978运营、开发并分发RomCom后门。同时,攻击者还部署与2022年5月首次发现的IndustrialSpy勒索软件密切相关的Underground勒索软件。”

“在2023年6月检测到的该行为者的最新活动中,利用CVE-2023-36884交付一个与RomCom相似的后门。”

立即的缓解措施

微软表示正在继续研究这一RCE漏洞,并将在调查完成后“采取适当行动以帮助保护我们的客户”。

“这可能包括通过我们的月度发布过程提供安全更新,或者根据客户需求提供非周期性的安全更新,”公司表示。

同时,使用Defender for Office365解决方案的客户可以利用其“阻止所有Office应用程序创建子进程”的规则来保护其系统免受利用此漏洞的附件攻击。

其他组织可以通过设置FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项来避免此漏洞的利用,但微软警告说,这项注册表设置可能会影响Office应用程序的正常运行。

其他四个零日漏洞的修复

本月的Patch Tuesday发布中,微软还修复了另外四个被积极利用的零日漏洞。

漏洞名称 | CVE 编号 | CVSS v3 评分 | 描述
—|—|—|—
Outlook安全特性旁路漏洞 | | 8.8 | 允许攻击者绕过Outlook安全通知

Leave a Reply

Your email address will not be published. Required fields are marked *