CVE-2023-21716: Пояснення експлойта віддаленого виконання коду в Microsoft Word
В рамках “Patch Tuesday” корпорація Майкрософт випустила патчі для критичної уразливості віддаленого виконання коду, знайденої в RTF-парсері Office Word. Вразливість CVE-2023-21716 має оцінку CVSS 9.8 (критична) і впливає на широкий спектр версій Microsoft Office, SharePoint та 365 Apps. Користувачам рекомендується якнайшвидше оновити свої програми до найновіших версій.
Симуляції атак з використанням вразливості CVE-2023-21716 доступні у бібліотеці загроз Picus Threat Library. Далі з’ясовуємо більше деталей про уразливість віддаленого виконання коду в Microsoft Word CVE-2023-21716.
Що таке CVE-2023-21716?
Компанія Microsoft повідомила про уразливість CVE-2023-21716 у листопаді 2022 року, а 14 лютого 2023 року вона випустила оновлення у своєму пакеті виправлень Patch Tuesday. Уразливість являє собою пошкодження динамічної пам’яті, знайдену в RTF-парсері MS Office Word. Використання вразливості дозволяє зловмисникам виконувати довільні команди з правами користувача через шкідливі RTF-файли. Для використання уразливості достатньо завантажити шкідливий RTF-документ у вікно попереднього перегляду, без необхідності його відкривати. Через низьку складність та високий вплив потенційної експлуатації, вразливість CVE-2023-21716 має оцінку CVSS 9.8 (критична).
Вразливість CVE-2023-21716 впливає на наступні продукти Microsoft, і користувачам цих продуктів рекомендується якнайшвидше встановити виправлення.
| Вразливі продукти | |
| Microsoft 365 Apps | for Enterprise
|
| Microsoft Office | Office 2019
Office LTSC 2021
Office Online Server Office Web Apps Server 2013 Service Pack 1 |
| Microsoft Word | Word 2013
Word 2016
|
| Microsoft SharePoint | Enterprise Server 2013 Service Pack 1
Enterprise Server 2016 Foundation 2013 Service Pack 1 Server 2019 Server Subscription Edition Server Subscription Edition Language Pack |
Якщо застосувати виправлення до вразливих продуктів неможливо, користувачі можуть застосувати наступні обхідні шляхи для обмеження потенційних експлойтів CVE-2023-21716.
- Налаштувати Microsoft Outlook на читання всієї стандартної пошти у відкритому вигляді
- Застосувати політику блокування файлів Microsoft Office, щоб не дозволяти MS Office відкривати RTF-документи з ненадійних джерел.
- Змінити значення параметра RtfFiles DWORD на 2 і OpenInProtectedView DWORD на 0 для наступних реєстрів
- Office 2013: HKCUSoftwareMicrosoftOffice15.0WordSecurityFileBlock
- Office 2016, 2019, 2021: HKCUSoftwareMicrosoftOffice16.0WordSecurityFileBlock
- Змінити значення параметра RtfFiles DWORD на 2 і OpenInProtectedView DWORD на 0 для наступних реєстрів
Експлуатація уразливості Microsoft Word CVE-2023-21716
Уразливість CVE-2023-21716 – це уразливість пошкодження динамічної пам’яті, знайдена в RTF-парсері Microsoft Word. При роботі з таблицями шрифтів парсер RTF завантажує значення ідентифікатора шрифту (f####) і заповнює попередні біти EDX значенням ідентифікатора шрифту. Якщо таблиця шрифтів (fonttbl) містить занадто велике значення ідентифікатора шрифту, аналізатор RTF пошкоджує стек і спричиняє від’ємний зсув у пам’яті, що зберігається в ESI. Це пошкодження може бути використано для довільного виконання команд з привілеями користувача.
open(“malicious.rtf”,”wb”).write((“{\rtf1{n{\fonttbl” + “”.join([ (“{\f%dA;}n” % i) for i in range(0,32761) ]) + “}n{\rtlch No Crash}n}}n”).encode(‘utf-8’))
Приклад 1: Доказ концепції для експлойта CVE-2023-21716
Щоб скористатися цією вразливістю, зловмисники створюють шкідливий RTF-файл і надсилають файл електронною поштою або іншими способами. Коли нічого не підозрюючий користувач відкриває або переглядає шкідливий RTF-файл, зловмисники виконують довільні команди в системі і потенційно можуть отримати віддалений доступ до своєї цілі.
Як Picus моделює атаки з використанням вразливостей Microsoft Word CVE-2023-21716 RCE?
Ми наполегливо рекомендуємо імітувати атаки на Microsoft Word CVE-2023-21716, щоб перевірити ефективність ваших засобів захисту від атак з використанням вразливостей за допомогою Picus Complete Security Validation Platform. Ви також можете протестувати свій захист від сотень інших вразливостей, таких як Log4Shell, Follina, ProxyShell і ProxyNotShell, за лічені хвилини, скориставшись 14-денною безкоштовною пробною версією платформи Picus.
Дізнайтеся більше про Picus від наших сертифікованих експертів. Заповнюйте коротку форму на нашому сайті та отримайте детальну консультацію та допомогу у впровадженні рішення для перевірки ефективності вашого захисту шляхом моделювання порушень та атак.
Бібліотека загроз Picus включає наступні загрози для Microsoft Word CVE-2023-21716:
| ID загрози | Назва загрози | Модуль атаки |
| 36484 | Microsoft Office Word RTF Font Table Heap Corruption Vulnerability Threat | Проникнення в мережу |
| 39959 | Microsoft Office Word RTF Font Table Heap Corruption Vulnerability Threat | Проникнення через електронну пошту (фішинг) |
Крім того, бібліотека загроз Picus містить 150+ зразків загроз, що містять 1500+ зразків атак на вебдодатки та атак з використанням вразливостей, а також 3500+ зразків загроз для кінцевих точок, шкідливого програмного забезпечення, електронної пошти та витоку даних.
Picus також надає практичні матеріали для усунення загроз. Бібліотека Picus Mitigation Library включає профілактичні сигнатури для захисту від атак з використанням вразливостей Microsoft Word CVE-2023-21716 та інших атак з використанням вразливостей у превентивних засобах контролю безпеки. Наразі Picus Labs перевірила наступні сигнатури для уразливості Microsoft Word CVE-2023-21716:
| Контроль безпеки | ID сигнатури | Назва сигнатури |
| Check Point NGFW | 0EE5C289A | Шкідливий двійковий файл.TC.3015fGer |
| McAfee | 0x4840c900 | ШКІДЛИВЕ ПЗ: GTI виявив шкідливий файл |
Почніть моделювати нові загрози вже сьогодні та отримайте практичні поради щодо їх усунення за допомогою Picus.
iIT Distribution є офіційним дистриб’ютором компанії Picus в Україні. Заповнюйте коротку контактну форму на нашому сайті та протестуйте The Complete Security Validation Platform у дії.
