发现了一个新的攻击链活动，涉及利用 CVE-2023-36884 和 CVE-2023-36584。CVE-2023-36884 是一个远程代码执行漏洞，而 CVE-2023-36584 是一个安全绕过漏洞，可用于利用 CVE-2023-36884。

CVE-2023-36884 的严重性评级为 8.8（高），CVE-2023-36584 的严重性评级为 5.4（中）。然而，归因于漏洞利用链的威胁行为者是一个名为 Storm-0978 又名 RomCom Group 的亲俄罗斯 APT 组织。

Windows 搜索 RCE漏洞

在最初的攻击链中，发现了一个未标记为 MotW（网络标记）的 .docx 文件，导致在打开该文件时 "受保护视图 "被禁用。

MS-DOCX 文件是一种压缩 ZIP 归档文件，由 word/document.xml 中的 XML 文件组成，包含文档文本和格式。

然而，document.xml 文件包含一个导入外部内容元素 altchunk 的锚点，该元素导入了一个 RTF 内容。该 RTF 文件 afchunk.rtf 包含两个恶意对象链接和嵌入 (OLE) 对象。

漏洞利用链的第一阶段

afchunk.rtf 中的恶意 OLE 对象从两个 URL 请求内容、

\\104.234.239[.]26\share1\MSHTML_C7\file001.urlhxxp://74.50.94[.]156/MSHTML_C7/start.xml

如果受害者主机访问 \\104.234.239[.]26\share1\MSHTML_C7\file001.url ，受害者的NTLM 凭据（包含主机名和用户名）就会泄露给威胁者控制的 SMB 服务器。然而，URLs 显示了两个文件：file001.url 和 file001.htm。

滥用 Windows 搜索处理程序

file001.htm 的 JS 使用 iframe 来加载多个文件。第一个文件名由受害者的 IP 地址和以 file001.search-ms 结尾的五个五位数标识符组成。随后，会发出三个在 URL 中使用 .zip_k* 字符串的 HTTP 请求。

新的 MotW 旁路 - CVE-2023-36584

Windows 搜索会扫描每个文件的扩展名，以确定文件内容。当搜索到互联网文件时，它会将文件写入临时目录，并添加 MotW。这一操作存在一个竞赛条件，可被用来绕过 MitW。

有三种技术与服务器端 ZIP 交换（元数据 TOCTOU）、服务器端延迟（关闭操作）和服务器端延迟（读取操作）有关。

服务器端 ZIP 交换 - 元数据 TOCTOU

当从远程服务器下载 ZIP 压缩文件时，这种技术就会被利用。zipfldr.dll 文件会读取 ZIP 文件头并将数据缓存在内存中。

一旦读取了文件头，就可以使用 TOCTOU 条件将带有 MotW 的 ZIP 替换为合法的文件名，从而绕过文件的 MotW。

服务器端延迟 - 关闭操作

这种技术与 Zone.Identifier ADS 相关联。标识符 ADS 有关，它可以通过 SMB 服务器提供时间延迟。SMB2 协议的关闭操作包含一个关闭请求和一个关闭响应，因此这种技术成为可能。

服务器端延迟 - 读操作

Windows 会从远程共享中读取部分大文件。如果文件末尾有随机数据，在 Windows 为文件添加 MotW 之前，SMB 服务器会延迟写入文件。

由于文件是以读/写 dwShareMode 模式打开的，因此在写入过程中文件是可用的。

Palo Alto 发布了一份有关攻击链的完整报告，其中提供了有关利用技术、操作方法和其他信息的详细信息。

妥协指标

读取：SHA256 哈希值 - 文件名

a61b2eafcf39715031357df6b01e85e0d1ea2e8ee1dfec241b114e18f7a1163f – Overview_of_UWCs_UkraineInNATO_campaign.docx0896e7c5433b2d426a30a43e7f4ef351fa870be8bd336952a0655392f8f8052d – word/document.xmlb5731baa7920b4649add429fc4a025142ce6a1e1adacb45850470ca4562d5e37 – word/_rels/document.xml.relse7cfeb023c3160a7366f209a16a6f6ea5a0bc9a3ddc16c6cba758114dfe6b539 – afchunk.rtf3d0dae359325e8e96cf46459c38d086279865457379bd6380523727db350de43 – file001.url48142dc7fe28a5d8a849fff11cb8206912e8382314a2f05e72abad0978b27e90 – start.xmlbfe3ebcc92a4a7d294b63ce0d7eba6313980d982709a27b337abe32651b63856 – file001.zipc94e2bfd4e2241fed42113049c84ac333fcff340cc202afe8926f8e885d5fca3 – 2222.chmf08cc922c5dab73f6a2534f8ceec8525604814ae7541688b7f65ac9924ace855 – 1111.htmcdc39ce48f8f587c536450a3bd0feb58bf40b59b310569797c1c9ae8d28b2914 – RFile.aspfd4fd44ff26e84ce6587413271cf7ff3960471a55eb0d51b0a9870b577d66f4a – file001.htm4fc768476ee92230db5dbc4d8cbca49a71f8433542e62e093c3ad160f699c98d – redir_obj.htm0adb2734a1ca0ccaf27d8a46c08b2fd1e19cb1fbd3fea6d8307851c691011f0f – file1.htm7a1494839927c20a4b27be19041f2a2c2845600691aa9a2032518b81463f83be – file1.mht20f58bd5381509072e46ad79e859fb198335dcd49c2cb738bd76f1d37d24c0a7 – fileH.htmee46f8c9769858aad6fa02466c867d7341ebe8a59c21e06e9e034048013bf65a – fileH.mhtc187aa84f92e4cb5b2d9714b35f5b892fa14fec52f2963f72b83c0b2d259449d – ex001.url

本研究引用的以下网络路径与 2023 年 7 月的诱惑有关：

\\104.234.239[.]26\share1\MSHTML_C7\file001.url\\104.234.239[.]26\share1\MSHTML_C7\ex001.urlfile[:]//104.234.239[.]26/share1/MSHTML_C7/1/file[:]//104.234.239[.]26/share1/MSHTML_C7/ex001.zip/file001.vbshxxp://74.50.94[.]156/MSHTML_C7/start.xmlhxxp://74.50.94[.]156/MSHTML_C7/zip_k.asp?d=hxxp://74.50.94[.]156/MSHTML_C7/zip_k2.asp?d=hxxp://74.50.94[.]156/MSHTML_C7/zip_k3.asp?d=hxxps://[.]info/sites/default/files/document/forms/2023/Overview_of_UWCs_UkraineInNATO_campaign.docx