微软修复针对NATO峰会参与者的远程代码执行漏洞

关键要点

微软正在修复一个被积极利用的远程代码执行（RCE）漏洞，此漏洞影响多款Windows和Office产品，而且已被用于针对本周在立陶宛举行的NATO峰会参与者。该漏洞的公开是微软在繁忙的七月PatchTuesday发布的一部分，期间警告了6个零日漏洞和132个安全缺陷。

根据研究人员的说法，七月RCE漏洞的受害目标似乎是对乌克兰加入NATO抱有同情的峰会参与者。这些目标在一场旨在利用微软漏洞的中受到攻击，恶意软件RomCom使攻击者可以远程执行目标系统上的代码。

微软表示依然在研究该漏洞，但它明确指出会认真对待此漏洞，并可能根据客户需求提前发布修复，而不是仅依赖月度补丁发布。

黑莓的威胁研究与情报团队，他们发现了两个恶意的乌克兰世界大会文档，这些文档是向支持乌克兰抵抗俄罗斯的人士发送的诱饵，此外还有针对可能支持乌克兰的NATO峰会参与者的文档。

黑莓研究人员认为，威胁行为者可能是该钓鱼活动的幕后黑手。微软在一篇也将该活动归因于RomCom，并将其追踪为Storm-0978。

微软在其文章中提到：“Storm-0978运营、开发并分发RomCom后门。同时，攻击者还部署与2022年5月首次发现的IndustrialSpy勒索软件密切相关的Underground勒索软件。”

“在2023年6月检测到的该行为者的最新活动中，利用CVE-2023-36884交付一个与RomCom相似的后门。”

微软表示正在继续研究这一RCE漏洞，并将在调查完成后“采取适当行动以帮助保护我们的客户”。

“这可能包括通过我们的月度发布过程提供安全更新，或者根据客户需求提供非周期性的安全更新，”公司表示。

同时，使用Defender for Office365解决方案的客户可以利用其“阻止所有Office应用程序创建子进程”的规则来保护其系统免受利用此漏洞的附件攻击。

其他组织可以通过设置FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项来避免此漏洞的利用，但微软警告说，这项注册表设置可能会影响Office应用程序的正常运行。

本月的Patch Tuesday发布中，微软还修复了另外四个被积极利用的零日漏洞。

漏洞名称 | CVE 编号 | CVSS v3 评分 | 描述
—|—|—|—
Outlook安全特性旁路漏洞 | | 8.8 | 允许攻击者绕过Outlook安全通知