除了 2023 年 7 月的 Windows 更新外，微软还透露了在野外检测到的0day 漏洞的存在，并为其分配了CVE-2023-36884。在没有发布补丁的情况下，他们将最初的通报命名为“Office 和 Windows HTML RCE 漏洞”，因为利用是使用恶意 Word 文档执行的，并提供了可以阻止利用的解决方法。

公开的信息非常少，而自称知情者引用的漏洞利用样本似乎很复杂，其中包括许多对旧已知漏洞的利用。有用信息的主要来源是安全研究员威尔·多尔曼（Will Dormann），他投入了大量精力公开剖析其中许多样本，并审查大量来源，以仔细区分小麦和谷壳（请参阅他的超长 Twitter 帖子）。

由于缺乏有关漏洞本身的足够信息，我们最初决定发布一个补丁，实施 Microsoft 推荐的最有效的解决方法之一 -针对所有 Office 可执行文件的FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION缓解措施。该补丁对所有人免费，因为问题仍然是未修补的 0day - 在所有 0patch 客户的计算机上启用了上述解决方法，因此他们不必手动执行此操作（甚至不需要知道这个 0day）。

官方补丁

8 月，微软终于提供了 CVE-2023-36884 的补丁，并更新了他们的通报，揭示了问题出在 Microsoft 搜索中，并且“攻击者可以植入规避 Web 标记 (MOTW) 防御的恶意文件，从而导致在受害者系统上执行代码。”

结合Will 对 Windows ZIP 文件提取中行为变化的分析（实际上主要是后者），我们得出结论：Microsoft 的 CVE-2023-36884 补丁重点是随机化 ZIP 存档文件所在的临时路径。提取的。在 8 月更新之前，直接从archive.zip ZIP 文件打开的file.txt文件将被提取到如下位置：

C:\Users\name\AppData\Local\Temp\Temp1_archive.zip\file.txt

对于在用户计算机上运行的本地漏洞利用脚本来说，这是一个可预测的位置，如果漏洞利用代码在正确的时间终止了提取过程，则即使 ZIP 文件来自 Windows，Windows 也不会在文件上放置 Web 标记 (MotW)来自互联网，不应被信任。如果提取的文件上没有此标记，稍后打开该文件时将不会出现安全警告。（在实际的利用中，提取的文件将是在没有任何警告的情况下启动的可执行文件。）

八月 Windows 更新后，文件提取有所不同。相同的文件将被提取到此位置：

C:\Users\用户名\AppData\Local\Temp\Temp 1710d72f-7438-40d0-be9b-52f7e0651fe9 _archive.zip\file.txt

因此添加的 GUID 部分是随机的并且每次都不同。这会阻止利用，因为利用代码无法猜测提取文件的正确路径，因此无法启动它。

我们在zipfldr.dll的CTempFileNameArray::_TryCreatingInPath函数内找到了引入此更改的 Microsoft 补丁。

感谢您抽出

.

.

来阅读本文

点它，分享点赞在看都在这里