CVE-2023-21716-Microsoft Word RTF 字体表堆损坏概述
微软最近发布了一份安全公告,描述了CVE-2023-21716 这个影响 Office、SharePoint 和 365 应用程序多个版本的关键远程代码执行 (RCE) 漏洞。
當 Microsoft Word 的 Rich Text Format (RTF) 剖析器處理包含過多字型 (f###) 的字型表 (fonttbl) 時,由於堆損毀漏洞而引致此漏洞。攻擊者可透過傳送惡意電郵或上載含有 RTF 有效載荷的檔案,誘使使用者打開檔案,利用漏洞。
当受害者打开恶意文件时,攻击者就能在用于打开文件的应用程序中执行任意代码。甚至预览窗格也可用于发起攻击。因此,这可能会导致安装恶意软件、窃取敏感数据或其他恶意活动。
由于该漏洞具有很高的可利用性,而且受害者只需进行最少的交互操作,因此该漏洞的 CVSS 得分为 9.8(危急)。
我们使用 OPSWAT MetaDefender扫描了一个包含恶意代码的 RFT 文件,结果发现 21 个反恶意软件引擎中只有 3 个检测到了该威胁。因此,依赖基于签名的检测方法的组织可能会受到攻击。
漏洞变通方法影响工作效率
微软在 2023 年 2 月 14 日的 "补丁星期二 "更新中发布了补丁。他们建议更新受影响的产品。
对于无法应用修复程序的用户,微软建议采用几种变通方法,以降低用户打开来自未知或不可信来源的 RTF 文件的风险。然而,这些变通方法既不容易实施,也不能有效地维持正常的业务活动。
- 微软建议以纯文本格式阅读电子邮件,但由于缺乏丰富的文本和媒体,这种方法不太可能被采用。虽然这种解决方案可以消除威胁,但它不支持显示图片、动画、粗体或斜体文本、彩色字体或其他文本格式。这会导致电子邮件中的关键信息大量丢失。
- 另一种解决方案是激活 Microsoft Office 文件阻止策略,该策略限制 Office 应用程序打开来源不明或不可信任的 RTF 文件。要执行此方法,必须修改 Windows 注册表。但需要谨慎,因为注册表编辑器使用不当可能会导致重大问题,可能需要重新安装操作系统。此外,如果没有指定 "豁免目录",用户有可能无法打开任何 RTF 文档。
保持安全,无需复杂的变通方法或牺牲可用性
深层CDR™技术(内容解除与重建)提供了解决方案,既无需处理复杂的解决方案,也不必牺牲文件的可用性。
Deep CDR™ 技术可抵御高级威胁与零日攻击。该技术能识别并清除来自电子邮件附件或文件上传等传入文件中的恶意内容,同时确保用户获得安全可靠的可用文件。
通过清除RTF文件中的所有嵌入对象,并从经过验证的安全组件中重建文件,Deep CDR™技术确保文件经过彻底清理且安全可靠,可放心访问,完全不存在任何潜在威胁。
Deep CDR™ 技术工艺包含以下步骤:
CDR 技术在防范未知和复杂威胁方面非常有效,因为它不依赖于检测和阻止特定的恶意软件签名。
Deep CDR™ 技术使管理员能够配置 RTF 文件的净化流程。为确保输出文件不含漏洞,所有 RTF 文件均需经过分析以确定其字体表中的字体数量。若字体数量超过预设阈值,系统将从文件中移除字体表。
默认情况下,超过 4096 个字体(标准上限)的字体表将被移除。不过,可以对这一配置进行自定义,以便做出明智的决策,并与您的特定用例保持一致。
深度CDR™技术提供深度视图,列出经过安全处理的对象及采取的操作措施——助您明智决策,定义符合使用场景的配置方案。下图展示了恶意RTF文件经深度CDR™技术安全处理后的结果。嵌入字体已被移除,从而消除了攻击途径。用户可放心打开该文件,无需担忧系统安全受损。
我们可以通过打开原始恶意 RTF 文件和净化版本,观察到异常嵌入字体已被删除。
探索最佳安全解决方案,防范零日攻击和高级规避型恶意软件——深入了解Deep CDR™技术与多扫描技术Multiscanning,或咨询OPSWAT 专家。
