發現了一個新的攻擊鏈活動，涉及利用 CVE-2023-36884 和 CVE-2023-36584。CVE-2023-36884 是一個遠程代碼執行漏洞，而 CVE-2023-36584 是一個安全繞過漏洞，可用于利用 CVE-2023-36884。

CVE-2023-36884 的嚴重性評級為 8.8（高），CVE-2023-36584 的嚴重性評級為 5.4（中）。然而，歸因于漏洞利用鏈的威脅行為者是一個名為 Storm-0978 又名 RomCom Group 的親俄羅斯 APT 組織。

Windows 搜索 RCE漏洞

在最初的攻擊鏈中，發現了一個未標記為 MotW（網絡標記）的 .docx 文件，導致在打開該文件時 "受保護視圖 "被禁用。

MS-DOCX 文件是一種壓縮 ZIP 歸檔文件，由 word/document.xml 中的 XML 文件組成，包含文檔文本和格式。

然而，document.xml 文件包含一個導入外部內容元素 altchunk 的錨點，該元素導入了一個 RTF 內容。該 RTF 文件 afchunk.rtf 包含兩個惡意對象鏈接和嵌入 (OLE) 對象。

漏洞利用鏈的第一階段

afchunk.rtf 中的惡意 OLE 對象從兩個 URL 請求內容、

• \104.234.239[.]26\share1\MSHTML_C7\file001.url
• hxxp://74.50.94[.]156/MSHTML_C7/start.xml

如果受害者主機訪問 \104.234.239[.]26\share1\MSHTML_C7\file001.url ，受害者的NTLM 憑據（包含主機名和用戶名）就會泄露給威脅者控制的 SMB 服務器。然而，URLs 顯示了兩個文件：file001.url 和 file001.htm。

濫用 Windows 搜索處理程序

file001.htm 的 JS 使用 iframe 來加載多個文件。第一個文件名由受害者的 IP 地址和以 file001.search-ms 結尾的五個五位數標識符組成。隨后，會發出三個在 URL 中使用 .zip_k* 字符串的 HTTP 請求。

新的 MotW 旁路 - CVE-2023-36584

Windows 搜索會掃描每個文件的擴展名，以確定文件內容。當搜索到互聯網文件時，它會將文件寫入臨時目錄，并添加 MotW。這一操作存在一個競賽條件，可被用來繞過 MitW。

有三種技術與服務器端 ZIP 交換（元數據 TOCTOU）、服務器端延遲（關閉操作）和服務器端延遲（讀取操作）有關。

服務器端 ZIP 交換 - 元數據 TOCTOU

當從遠程服務器下載 ZIP 壓縮文件時，這種技術就會被利用。zipfldr.dll 文件會讀取 ZIP 文件頭并將數據緩存在內存中。

一旦讀取了文件頭，就可以使用 TOCTOU 條件將帶有 MotW 的 ZIP 替換為合法的文件名，從而繞過文件的 MotW。

服務器端延遲 - 關閉操作

這種技術與 Zone.Identifier ADS 相關聯。標識符 ADS 有關，它可以通過 SMB 服務器提供時間延遲。SMB2 協議的關閉操作包含一個關閉請求和一個關閉響應，因此這種技術成為可能。

服務器端延遲 - 讀操作

Windows 會從遠程共享中讀取部分大文件。如果文件末尾有隨機數據，在 Windows 為文件添加 MotW 之前，SMB 服務器會延遲寫入文件。

由于文件是以讀/寫 dwShareMode 模式打開的，因此在寫入過程中文件是可用的。

Palo Alto 發布了一份有關攻擊鏈的完整報告，其中提供了有關利用技術、操作方法和其他信息的詳細信息。

妥協指標

讀取：SHA256 哈希值 - 文件名

• a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f – Overview_of_UWCs_UkraineInNATO_campaign.docx
• 0896e7c5433b2d426a30a43e7f4ef351fa870be8bd336952a0655392f8f8052d – word/document.xml
• b5731baa7920b4649add429fc4a025142ce6a1e1adacb45850470ca4562d5e37 – word/_rels/document.xml.rels
• e7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539 – afchunk.rtf
• 3d0dae359325e8e96cf46459c38d086279865457379bd6380523727db350de43 – file001.url
• 48142dc7fe28a5d8a849fff11cb8206912e8382314a2f05e72abad0978b27e90 – start.xml
• bfe3ebcc92a4a7d294b63ce0d7eba6313980d982709a27b337abe32651b63856 – file001.zip
• c94e2bfd4e2241fed42113049c84ac333fcff340cc202afe8926f8e885d5fca3 – 2222.chm
• f08cc922c5dab73f6a2534f8ceec8525604814ae7541688b7f65ac9924ace855 – 1111.htm
• cdc39ce48f8f587c536450a3bd0feb58bf40b59b310569797c1c9ae8d28b2914 – RFile.asp
• fd4fd44ff26e84ce6587413271cf7ff3960471a55eb0d51b0a9870b577d66f4a – file001.htm
• 4fc768476ee92230db5dbc4d8cbca49a71f8433542e62e093c3ad160f699c98d – redir_obj.htm
• 0adb2734a1ca0ccaf27d8a46c08b2fd1e19cb1fbd3fea6d8307851c691011f0f – file1.htm
• 7a1494839927c20a4b27be19041f2a2c2845600691aa9a2032518b81463f83be – file1.mht
• 20f58bd5381509072e46ad79e859fb198335dcd49c2cb738bd76f1d37d24c0a7 – fileH.htm
• ee46f8c9769858aad6fa02466c867d7341ebe8a59c21e06e9e034048013bf65a – fileH.mht
• c187aa84f92e4cb5b2d9714b35f5b892fa14fec52f2963f72b83c0b2d259449d – ex001.url

本研究引用的以下網絡路徑與 2023 年 7 月的誘惑有關：

• \104.234.239[.]26\share1\MSHTML_C7\file001.url
• \104.234.239[.]26\share1\MSHTML_C7\ex001.url
• file[:]//104.234.239[.]26/share1/MSHTML_C7/1/
• file[:]//104.234.239[.]26/share1/MSHTML_C7/ex001.zip/file001.vbs
• hxxp://74.50.94[.]156/MSHTML_C7/start.xml
• hxxp://74.50.94[.]156/MSHTML_C7/zip_k.asp?d=
• hxxp://74.50.94[.]156/MSHTML_C7/zip_k2.asp?d=
• hxxp://74.50.94[.]156/MSHTML_C7/zip_k3.asp?d=
• hxxps://www.ukrainianworldcongress[.]info/sites/default/files/document/forms/2023/Overview_of_UWCs_UkraineInNATO_campaign.docx