CVE-2023-21716 概述 - Microsoft Word RTF 字體表堆損壞
Microsoft 最近發佈了一份安全公告,描述了 CVE-2023-21716,這是一個影響多個版本的 Office、SharePoint 和 365 應用程式的關鍵遠端執行代碼 (RCE) 漏洞。
此漏洞是由 Microsoft Word 的富文本格式 (RTF) 分析器在處理包含過多字體 (f###) 的字體表 (fonttbl) 時的堆損壞漏洞觸發的。攻擊者可透過發送惡意電子郵件或上傳包含 RTF 有效負載的檔並誘使用戶打開檔來利用它。
當受害者打開惡意檔時,攻擊者將獲得在用於打開該檔案的應用程式中執行任意代碼的存取許可權。甚至預覽窗格也可用於發起攻擊。因此,這可能會導致安裝惡意軟體、盜竊敏感資料或其他惡意活動。
該漏洞的 CVSS 評分為 9.8(嚴重),因為它具有很高的可利用性和受害者所需的最少交互。
我們使用 OPSWAT MetaDefender,我們觀察到 21 個反惡意軟體引擎中只有 3 個檢測到威脅。因此,依賴基於特徵檢測的檢測方法的組織可能會容易受到攻擊。
漏洞變通辦法影響工作效率
Microsoft 在 2023 年 2 月 14 日的補丁星期二更新中發佈了補丁。他們建議更新受影響的產品。
對於無法應用此修復程式的使用者,Microsoft 建議幾種解決方法來降低使用者從未知或不受信任的來源打開 RTF 檔的風險。但是,這些變通方法既不容易實施,也不容易有效地維護常規商務活動。
- Microsoft建議以純文本格式閱讀電子郵件,由於缺乏富文本和媒體,這種格式不太可能被採用。雖然此解決方案可以消除威脅,但它不支持顯示圖片、動畫、粗體或斜體文本、彩色字體或其他文本格式。這會導致電子郵件中關鍵資訊的大量丟失。
- 另一種解決方案是啟動 Microsoft Office 檔案阻止策略,該策略限制 Office 應用程式打開來源未知或不受信任的 RTF 檔。必須修改 Windows 註冊表才能實現此方法。但是,需要小心,因為註冊表編輯器的不當使用可能會導致重大問題,可能需要重新安裝操作系統。此外,如果未指定豁免目錄,則使用者可能無法打開任何 RTF 檔案。
保持安全,無需複雜的變通方法或犧牲可用性
與其處理複雜的解決方案或犧牲檔案可用性,Deep CDR™ 技術(內容解除武裝與重建技術)提供了一種解決方案。
深度內容檢測技術™可抵禦進階威脅與零時差攻擊。該技術能識別並清除來自傳入檔案(如電子郵件附件或檔案上傳)的惡意內容,同時確保使用者獲得安全且可正常使用的檔案。
透過移除RTF檔案中的所有嵌入物件,並從經過驗證的安全元件重建檔案,Deep CDR™技術確保檔案經過徹底清理且安全無虞,可放心存取,完全排除任何潛在威脅。
Deep CDR™ 技術流程包含以下步驟:
CDR 技術在抵禦未知和複雜威脅方面非常有效,因為它不依賴於檢測和阻止特定的惡意軟體簽名。
Deep CDR™ 技術使管理員能夠為 RFT 檔案設定清理流程。為確保輸出檔案不含漏洞,所有 RTF 檔案均會經過分析以判定其字型表中的字型數量。若數量超過預先設定的限制,系統將從檔案中移除字型表。
默認情況下,將刪除超過 4096 種字體(標準上限)的字體表。但是,可以客製化此配置,以實現明智的決策並與您的特定客戶案例保持一致。
深度CDR™技術提供深度檢視功能,列出已消毒的物件及採取的行動——讓您能根據資訊做出明智選擇,定義符合使用情境的配置。以下是惡意RTF檔案經深度CDR™技術消毒後的結果。嵌入的字型已被移除,從而消除了攻擊途徑。因此,使用者可安心開啟檔案,無須擔心遭受攻擊。
我們可以透過打開原始惡意 RTF 檔和清理版本來觀察到異常嵌入字體已被刪除。
探索最佳安全解決方案,透過深入了解Deep CDR™ 技術與多層掃描技術,有效防範零日攻擊與高階規避型惡意軟體。 Multiscanning,或諮詢OPSWAT 專家。
