CVE-2023-21716-Microsoft Word RTF 字体表堆损坏概述
微软最近发布了一份安全公告,描述了CVE-2023-21716 这个影响 Office、SharePoint 和 365 应用程序多个版本的关键远程代码执行 (RCE) 漏洞。
當 Microsoft Word 的 Rich Text Format (RTF) 剖析器處理包含過多字型 (f###) 的字型表 (fonttbl) 時,由於堆損毀漏洞而引致此漏洞。攻擊者可透過傳送惡意電郵或上載含有 RTF 有效載荷的檔案,誘使使用者打開檔案,利用漏洞。
当受害者打开恶意文件时,攻击者就能在用于打开文件的应用程序中执行任意代码。甚至预览窗格也可用于发起攻击。因此,这可能会导致安装恶意软件、窃取敏感数据或其他恶意活动。
由于该漏洞具有很高的可利用性,而且受害者只需进行最少的交互操作,因此该漏洞的 CVSS 得分为 9.8(危急)。
我们使用 OPSWAT MetaDefender扫描了一个包含恶意代码的 RFT 文件,结果发现 21 个反恶意软件引擎中只有 3 个检测到了该威胁。因此,依赖基于签名的检测方法的组织可能会受到攻击。
漏洞变通方法影响工作效率
微软在 2023 年 2 月 14 日的 "补丁星期二 "更新中发布了补丁。他们建议更新受影响的产品。
对于无法应用修复程序的用户,微软建议采用几种变通方法,以降低用户打开来自未知或不可信来源的 RTF 文件的风险。然而,这些变通方法既不容易实施,也不能有效地维持正常的业务活动。
- 微软建议以纯文本格式阅读电子邮件,但由于缺乏丰富的文本和媒体,这种方法不太可能被采用。虽然这种解决方案可以消除威胁,但它不支持显示图片、动画、粗体或斜体文本、彩色字体或其他文本格式。这会导致电子邮件中的关键信息大量丢失。
- 另一种解决方案是激活 Microsoft Office 文件阻止策略,该策略限制 Office 应用程序打开来源不明或不可信任的 RTF 文件。要执行此方法,必须修改 Windows 注册表。但需要谨慎,因为注册表编辑器使用不当可能会导致重大问题,可能需要重新安装操作系统。此外,如果没有指定 "豁免目录",用户有可能无法打开任何 RTF 文档。
保持安全,无需复杂的变通方法或牺牲可用性
Deep CDR (内容解除和重构)提供了一种补救措施,而不是处理复杂的解决方案或牺牲文件的可用性。
Deep CDR 技术可防范高阶威胁和零日威胁。它能识别并删除传入文件(如电子邮件附件或文件上传)中的恶意内容,同时提供安全可用的文件。
通过移除 RTF 文件中的所有嵌入对象,并从经过验证的安全组件中重建文件,Deep CDR 可确保文件经过消毒,访问安全,不存在任何潜在威胁。
Deep CDR 该过程包括以下步骤:
CDR 技术在防范未知和复杂威胁方面非常有效,因为它不依赖于检测和阻止特定的恶意软件签名。
Deep CDR 使管理员能够配置 RFT 文件的清除程序。为确保输出文件不存在漏洞,所有 RTF 文件都要经过分析,以确定其字体表中的字体数量。如果数量超过了预先配置的限制,文件中的字体表就会被删除。
默认情况下,超过 4096 个字体(标准上限)的字体表将被移除。不过,可以对这一配置进行自定义,以便做出明智的决策,并与您的特定用例保持一致。
Deep CDR 提供了深入的视图,列出了被清除的对象和采取的行动,使您能够做出明智的选择,定义符合您的使用情况的配置。以下是恶意 RTF 文件经Deep CDR 净化后的结果。内嵌字体已被删除,从而消除了攻击载体。因此,用户可以打开该文件而不必担心受到攻击。
我们可以通过打开原始恶意 RTF 文件和净化版本,观察到异常嵌入字体已被删除。
了解更多信息,发现防止零日恶意软件和高级规避型恶意软件的最佳安全解决方案 Deep CDR和 Multiscanning或咨询OPSWAT 技术专家。
