CVE-2023-36884
Microsoft Windows
2023-07-17
Microsoft Windows Search contains an unspecified vulnerability that could allow an attacker to evade Mark of the Web (MOTW) defenses via a specially crafted malicious file, leading to remote code execution.
Технический анализ и план устранения
Суть уязвимости
CVE-2023-36884 — это уязвимость в компоненте Microsoft Windows Search, позволяющая злоумышленнику обойти механизмы защиты Mark of the Web (MOTW). MOTW — это специальная метка (Alternate Data Stream), которая помечает файлы, загруженные из интернета, и инициирует функции безопасности, такие как «Защищенный просмотр» в Microsoft Office и предупреждения SmartScreen.
Используя специально сформированные документы (преимущественно файлы Microsoft Office), атакующий может заставить систему игнорировать MOTW. Это приводит к выполнению произвольного кода (RCE) при открытии файла пользователем, так как защитные механизмы не блокируют выполнение вредоносных макросов или внешних объектов.
Как исправить
Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft.
- Откройте «Параметры» (Settings) -> «Обновление и безопасность» (Update & Security).
- Нажмите «Проверить наличие обновлений» (Check for updates).
- Установите накопительное обновление (Cumulative Update), выпущенное в августе 2023 года или позже.
Для автоматизации проверки наличия необходимых патчей через PowerShell:
Get-HotFix | Where-Object {$_.HotFixID -match "KB5028185" -or $_.HotFixID -match "KB5028166" -or $_.HotFixID -match "KB5028168"}
Временные меры
Если установка патчей невозможна, необходимо применить обходные пути (Workarounds), рекомендованные Microsoft. Основной метод — блокировка создания дочерних процессов для офисных приложений через реестр.
1. Настройка реестра для блокировки выполнения через Office
Добавьте имена приложений в ключ реестра FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION, чтобы предотвратить эксплуатацию через протоколы навигации.
$registryPath = "HKLM:\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION"
if (!(Test-Path $registryPath)) { New-Item -Path $registryPath -Force }
Set-ItemProperty -Path $registryPath -Name "Excel.exe" -Value 1 -Type DWord
Set-ItemProperty -Path $registryPath -Name "Graph.exe" -Value 1 -Type DWord
Set-ItemProperty -Path $registryPath -Name "MSPub.exe" -Value 1 -Type DWord
Set-ItemProperty -Path $registryPath -Name "Powerpnt.exe" -Value 1 -Type DWord
Set-ItemProperty -Path $registryPath -Name "Visio.exe" -Value 1 -Type DWord
Set-ItemProperty -Path $registryPath -Name "Winword.exe" -Value 1 -Type DWord
Set-ItemProperty -Path $registryPath -Name "Wordpad.exe" -Value 1 -Type DWord
2. Использование Attack Surface Reduction (ASR)
Если в организации используется Microsoft Defender for Endpoint, включите правило ASR «Блокировать создание дочерних процессов всеми офисными приложениями».
GUID правила: d4f940ab-401b-4efc-aadc-ad5f3c50688a
Add-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Enabled
3. Ограничение прав доступа
Рекомендуется убедиться, что пользователи работают под учетными записями с ограниченными правами (не администраторы), чтобы минимизировать ущерб в случае успешной эксплуатации.