Panoramica di CVE-2023-21716-Microsoft Word RTF Font Table Heap Corruption
Microsoft ha recentemente emesso un avviso di sicurezza che descrive CVE-2023-21716, una vulnerabilità critica di tipo RCE (Remote Code Execution) che interessa diverse versioni di Office, SharePoint e delle applicazioni 365.
Questa vulnerabilità è innescata da una vulnerabilità di corruzione dell'heap nel parser Rich Text Format (RTF) di Microsoft Word durante l'elaborazione di una tabella di font (fonttbl) contenente un numero eccessivo di font (f###). Può essere sfruttata da un utente malintenzionato inviando un'e-mail dannosa o caricando un file contenente un payload RTF e invogliando l'utente ad aprire il file.
Quando la vittima apre il file dannoso, l'aggressore ottiene l'accesso per eseguire codice arbitrario all'interno dell'applicazione utilizzata per aprire il file. Anche il riquadro di anteprima può essere utilizzato per lanciare un attacco. Di conseguenza, ciò potrebbe portare all'installazione di malware, al furto di dati sensibili o ad altre attività dannose.
Alla vulnerabilità è stato assegnato un punteggio CVSS di 9.8 (Critico) a causa della sua elevata sfruttabilità e della minima interazione richiesta alla vittima.
Abbiamo eseguito la scansione di un file RFT contenente codice dannoso utilizzando OPSWAT MetaDefendere abbiamo osservato che solo 3 motori antimalware su 21 hanno rilevato la minaccia. Di conseguenza, un'organizzazione che si affida a metodi di rilevamento basati sulle firme potrebbe potenzialmente diventare vulnerabile agli attacchi.
I workaround delle vulnerabilità influiscono sulla produttività
Microsoft ha pubblicato le patch nell'aggiornamento del Patch Tuesday del 14 febbraio 2023. Si consiglia di aggiornare i prodotti interessati.
Per gli utenti che non possono applicare la correzione, Microsoft suggerisce diverse soluzioni per ridurre il rischio che gli utenti aprano file RTF da fonti sconosciute o non attendibili. Tuttavia, le soluzioni non sono né facili da implementare né efficienti per mantenere le normali attività aziendali.
- Microsoft suggerisce di leggere i messaggi di posta elettronica in formato testo normale, una soluzione che difficilmente verrà adottata a causa della mancanza di testo ricco e media. Sebbene questa soluzione possa eliminare la minaccia, non supporta la visualizzazione di immagini, animazioni, testo in grassetto o corsivo, font colorati o altre formattazioni del testo. Ciò comporta una perdita sostanziale di informazioni cruciali nell'e-mail.
- Un'altra soluzione consiste nell'attivare il criterio Microsoft Office File Block, che limita le applicazioni di Office dall'apertura di file RTF di origine sconosciuta o non attendibile. Per implementare questo metodo è necessario modificare il Registro di Windows. Tuttavia, è necessario prestare attenzione, poiché un uso improprio dell'Editor del Registro di sistema può causare problemi significativi che possono richiedere la reinstallazione del sistema operativo. Inoltre, se non è stata designata una "directory esente", è possibile che gli utenti non possano aprire alcun documento RTF.
Mantenere la sicurezza senza ricorrere a complicati workaround o sacrificare l'usabilità
Anziché ricorrere a soluzioni complesse o compromettere la fruibilità dei file, la tecnologia Deep CDR™ (Content Disarm and Reconstruction) offre una soluzione.
La tecnologia Deep CDR™ protegge dalle minacce avanzate e zero-day. Identifica e rimuove i contenuti dannosi dai file in entrata, come gli allegati e-mail o i file caricati, garantendo al contempo file sicuri e utilizzabili.
Rimuovendo tutti gli oggetti incorporati nei file RTF e ricostruendo i file a partire da componenti sicuri e verificati, la tecnologia Deep CDR™ garantisce che i file siano ripuliti e sicuri da consultare, privi di qualsiasi potenziale minaccia.
Il processo basato sulla tecnologia Deep CDR™ prevede le seguenti fasi:
La tecnologia CDR è molto efficace nel proteggere dalle minacce sconosciute e sofisticate, poiché non si basa sul rilevamento e sul blocco di specifiche firme di malware.
La tecnologia Deep CDR™ consente agli amministratori di configurare il processo di sanificazione dei file RTF. Per garantire che i file di output siano privi di vulnerabilità, tutti i file RTF vengono sottoposti ad analisi per determinare il numero di font presenti nelle loro tabelle dei font. Se il numero supera un limite predefinito, le tabelle dei font vengono eliminate dai file.
Per impostazione predefinita, le tabelle di font con più di 4096 font, un limite standard, vengono rimosse. Tuttavia, questa configurazione può essere personalizzata per consentire un processo decisionale consapevole e per allinearsi al vostro caso d'uso specifico.
La tecnologia Deep CDR™ offre una visione approfondita, elencando gli oggetti bonificati e le azioni intraprese, consentendovi così di compiere scelte consapevoli per definire configurazioni adeguate al vostro caso d'uso. Di seguito è riportato il risultato del file RTF dannoso dopo la bonifica effettuata dalla tecnologia Deep CDR™. Il font incorporato è stato rimosso, eliminando così il vettore di attacco. Di conseguenza, gli utenti possono aprire il file senza temere di subire compromissioni.
Possiamo osservare che il font incorporato anomalo è stato rimosso aprendo sia il file RTF originale dannoso che la versione sanificata.
Scopri la migliore soluzione di sicurezza per prevenire gli attacchi zero-day e il malware avanzato in grado di eludere i controlli, approfondendo la tecnologia Deep CDR™ e Multiscanning, oppure consultando un esperto OPSWAT di OPSWAT .
