CVE-2023-21716 概述 - Microsoft Word RTF 字體表堆損壞
Microsoft 最近發佈了一份安全公告,描述了 CVE-2023-21716,這是一個影響多個版本的 Office、SharePoint 和 365 應用程式的關鍵遠端執行代碼 (RCE) 漏洞。
此漏洞是由 Microsoft Word 的富文本格式 (RTF) 分析器在處理包含過多字體 (f###) 的字體表 (fonttbl) 時的堆損壞漏洞觸發的。攻擊者可透過發送惡意電子郵件或上傳包含 RTF 有效負載的檔並誘使用戶打開檔來利用它。
當受害者打開惡意檔時,攻擊者將獲得在用於打開該檔案的應用程式中執行任意代碼的存取許可權。甚至預覽窗格也可用於發起攻擊。因此,這可能會導致安裝惡意軟體、盜竊敏感資料或其他惡意活動。
該漏洞的 CVSS 評分為 9.8(嚴重),因為它具有很高的可利用性和受害者所需的最少交互。
我們使用 OPSWAT MetaDefender,我們觀察到 21 個反惡意軟體引擎中只有 3 個檢測到威脅。因此,依賴基於特徵檢測的檢測方法的組織可能會容易受到攻擊。
漏洞變通辦法影響工作效率
Microsoft 在 2023 年 2 月 14 日的補丁星期二更新中發佈了補丁。他們建議更新受影響的產品。
對於無法應用此修復程式的使用者,Microsoft 建議幾種解決方法來降低使用者從未知或不受信任的來源打開 RTF 檔的風險。但是,這些變通方法既不容易實施,也不容易有效地維護常規商務活動。
- Microsoft建議以純文本格式閱讀電子郵件,由於缺乏富文本和媒體,這種格式不太可能被採用。雖然此解決方案可以消除威脅,但它不支持顯示圖片、動畫、粗體或斜體文本、彩色字體或其他文本格式。這會導致電子郵件中關鍵資訊的大量丟失。
- 另一種解決方案是啟動 Microsoft Office 檔案阻止策略,該策略限制 Office 應用程式打開來源未知或不受信任的 RTF 檔。必須修改 Windows 註冊表才能實現此方法。但是,需要小心,因為註冊表編輯器的不當使用可能會導致重大問題,可能需要重新安裝操作系統。此外,如果未指定豁免目錄,則使用者可能無法打開任何 RTF 檔案。
保持安全,無需複雜的變通方法或犧牲可用性
Deep CDR (内容解除和重构)提供了一种补救措施,而不是处理复杂的解决方案或牺牲檔案的可用性。
Deep CDR(檔案無毒化) 技術可抵禦高階威脅和零時差威脅。它可以識別並刪除傳入檔案中的惡意內容,例如電子郵件附件或檔案上傳,同時提供安全、可用的檔。
透過刪除 RTF 檔案中的所有嵌入物件並從經過驗證的安全元件中重建檔,Deep CDR 確保檔經過清理並安全存取,沒有任何潛在威脅。
Deep CDR 该过程包括以下步骤:
CDR 技術在抵禦未知和複雜威脅方面非常有效,因為它不依賴於檢測和阻止特定的惡意軟體簽名。
Deep CDR(檔案無毒化) 使管理員能夠配置 RFT 檔的清理過程。為確保輸出檔沒有漏洞,所有 RTF 檔都經過分析以確定其字體表中的字型數。如果計數超過預配置的限制,則會從檔中刪除字體表。
默認情況下,將刪除超過 4096 種字體(標準上限)的字體表。但是,可以客製化此配置,以實現明智的決策並與您的特定客戶案例保持一致。
Deep CDR 提供深入的視圖,列出經過清理的物件和所執行的操作,使您能夠做出明智的選擇來定義滿足您客戶案例的配置。以下是惡意RTF檔被Deep CDR清理後的結果。 刪除了嵌入的字體,從而消除了攻擊媒介。因此,使用者可以打開檔而不必擔心受到損害。
我們可以透過打開原始惡意 RTF 檔和清理版本來觀察到異常嵌入字體已被刪除。
透過了解有關 Deep CDR(檔案無毒化) 和 多防毒引擎掃描的更多資訊,或透過以下方式發現防止零時差和高階規避惡意軟體的最佳安全解決方案 諮詢 OPSWAT 技術專家。
