漏洞描述:

Windows 是微软公司开发的操作系统，Office 是微软公司的办公套件，包括常用的办公应用程序如 Word、Excel、PowerPoint 等。
近日，微软发布了7月安全更新，本次更新共修复了132个漏洞，其中包含一个Office 和 Windows HTML 远程代码执行漏洞，该漏洞影响了多个Windows和Office产品，漏洞编号：CVE-2023-36884，漏洞危害等级：高危，该漏洞已经公开披露且存在在野利用。
受影响的 Windows 和 Office 产品中由于未正确处理跨协议文件导航，当用户打开攻击者恶意构造的 Microsoft Office 文档时，攻击者可在用户主机远程执行任意代码。

影响版本：

2008<=Microsoft Windows Server<=2022

1607<=Microsoft Windows 10<=22H2

Microsoft Office=2019

2013 Service Pack<=Microsoft Word<=2016

Microsoft Office LTSC=2021

21H2<=Microsoft Windows 11<=22H2


修复建议

正式防护方案：

微软官方已更新受影响软件的安全补丁，用户可根据不同系统版本下载安装对应的安全补丁。

安全更新链接：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884


临时防护方案：

受影响用户可以采用以下缓解措施：

1. 使用Microsoft Defender for Office 或 Microsoft 365 Apps

微软建议使用 Microsoft Defender for Office ，Microsoft Defender for Office 可以防御恶意文件以防止此漏洞造成的危害，使用Microsoft 365 Apps (Versions 2302 and later)也可免受此漏洞危害。

2. 使用阻止创建新进程策略

此漏洞的当前利用链会在Office中创建新进程，建议使用阻止创建新进程策略，以减少此漏洞成功利用的可能性，相关操作方法请参考微软官方说明：https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes

3. 通过修改注册表值以减少漏洞被利用的可能性

请注意，虽然这些注册表设置可减轻对该问题的利用，但可能会影响与这些应用程序相关的某些用例的常规功能。因此，我们建议修改注册表时进行测试。具体操作为将以下值设置为”1“，并在漏洞修复后将此值重新设置为”0“。

设置的字段为：

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION

设置的Name列表如下，type为 REG_DWORD，值为1 ：

Excel.exe

Graph.exe

MSAccess.exe
MSPub.exe
PowerPoint.exe
Visio.exe
WinProj.exe
WinWord.exe
Wordpad.exe

操作截图：