Panoramica di CVE-2023-21716-Microsoft Word RTF Font Table Heap Corruption
Microsoft ha recentemente emesso un avviso di sicurezza che descrive CVE-2023-21716, una vulnerabilità critica di tipo RCE (Remote Code Execution) che interessa diverse versioni di Office, SharePoint e delle applicazioni 365.
Questa vulnerabilità è innescata da una vulnerabilità di corruzione dell'heap nel parser Rich Text Format (RTF) di Microsoft Word durante l'elaborazione di una tabella di font (fonttbl) contenente un numero eccessivo di font (f###). Può essere sfruttata da un utente malintenzionato inviando un'e-mail dannosa o caricando un file contenente un payload RTF e invogliando l'utente ad aprire il file.
Quando la vittima apre il file dannoso, l'aggressore ottiene l'accesso per eseguire codice arbitrario all'interno dell'applicazione utilizzata per aprire il file. Anche il riquadro di anteprima può essere utilizzato per lanciare un attacco. Di conseguenza, ciò potrebbe portare all'installazione di malware, al furto di dati sensibili o ad altre attività dannose.
Alla vulnerabilità è stato assegnato un punteggio CVSS di 9.8 (Critico) a causa della sua elevata sfruttabilità e della minima interazione richiesta alla vittima.
Abbiamo eseguito la scansione di un file RFT contenente codice dannoso utilizzando OPSWAT MetaDefendere abbiamo osservato che solo 3 motori antimalware su 21 hanno rilevato la minaccia. Di conseguenza, un'organizzazione che si affida a metodi di rilevamento basati sulle firme potrebbe potenzialmente diventare vulnerabile agli attacchi.
I workaround delle vulnerabilità influiscono sulla produttività
Microsoft ha pubblicato le patch nell'aggiornamento del Patch Tuesday del 14 febbraio 2023. Si consiglia di aggiornare i prodotti interessati.
Per gli utenti che non possono applicare la correzione, Microsoft suggerisce diverse soluzioni per ridurre il rischio che gli utenti aprano file RTF da fonti sconosciute o non attendibili. Tuttavia, le soluzioni non sono né facili da implementare né efficienti per mantenere le normali attività aziendali.
- Microsoft suggerisce di leggere i messaggi di posta elettronica in formato testo normale, una soluzione che difficilmente verrà adottata a causa della mancanza di testo ricco e media. Sebbene questa soluzione possa eliminare la minaccia, non supporta la visualizzazione di immagini, animazioni, testo in grassetto o corsivo, font colorati o altre formattazioni del testo. Ciò comporta una perdita sostanziale di informazioni cruciali nell'e-mail.
- Un'altra soluzione consiste nell'attivare il criterio Microsoft Office File Block, che limita le applicazioni di Office dall'apertura di file RTF di origine sconosciuta o non attendibile. Per implementare questo metodo è necessario modificare il Registro di Windows. Tuttavia, è necessario prestare attenzione, poiché un uso improprio dell'Editor del Registro di sistema può causare problemi significativi che possono richiedere la reinstallazione del sistema operativo. Inoltre, se non è stata designata una "directory esente", è possibile che gli utenti non possano aprire alcun documento RTF.
Mantenere la sicurezza senza ricorrere a complicati workaround o sacrificare l'usabilità
Invece di gestire soluzioni complesse o di sacrificare l'usabilità dei file, Deep CDR (Content Disarm and Reconstruction)) offre un rimedio.
Deep CDR protegge dalle minacce avanzate e zero-day. Identifica e rimuove i contenuti dannosi dai file in entrata, come gli allegati di posta elettronica o i file caricati, fornendo al contempo file sicuri e utilizzabili.
Rimuovendo tutti gli oggetti incorporati nei file RTF e ricostruendo i file da componenti sicuri verificati, Deep CDR garantisce che i file siano sanificati e sicuri per l'accesso, privi di potenziali minacce.
Deep CDR Il processo prevede le seguenti fasi:
La tecnologia CDR è molto efficace nel proteggere dalle minacce sconosciute e sofisticate, poiché non si basa sul rilevamento e sul blocco di specifiche firme di malware.
Deep CDR consente agli amministratori di configurare il processo di sanificazione dei file RFT. Per garantire che i file di output siano privi di vulnerabilità, tutti i file RTF vengono analizzati per determinare il numero di font nelle loro tabelle di font. Se il numero supera un limite preconfigurato, le tabelle dei font vengono eliminate dai file.
Per impostazione predefinita, le tabelle di font con più di 4096 font, un limite standard, vengono rimosse. Tuttavia, questa configurazione può essere personalizzata per consentire un processo decisionale consapevole e per allinearsi al vostro caso d'uso specifico.
Deep CDR fornisce viste approfondite, elencando gli oggetti sanificati e le azioni intraprese, consentendo di fare scelte informate per definire le configurazioni che soddisfano i propri casi d'uso. Di seguito è riportato il risultato del file RTF dannoso dopo essere stato sanificato da Deep CDR. Il font incorporato è stato rimosso, eliminando così il vettore di attacco. Di conseguenza, gli utenti possono aprire il file senza preoccuparsi di essere compromessi.
Possiamo osservare che il font incorporato anomalo è stato rimosso aprendo sia il file RTF originale dannoso che la versione sanificata.
Scoprite la migliore soluzione di sicurezza per prevenire le minacce informatiche zero-day e le minacce informatiche evasive avanzate, approfondendo la conoscenza di Deep CDR e Multiscanningo consultando un esperto tecnico di OPSWAT .
