A CVE-2023-21716-Microsoft Word RTF betűtípus-táblázat halmazrongálásának áttekintése
A Microsoft nemrégiben biztonsági tanácsadást adott ki a CVE-2023-21716 biztonsági résről, amely az Office, a SharePoint és a 365 alkalmazások több verzióját érintő kritikus távoli kódvégrehajtási (RCE) sebezhetőség.
Ezt a sebezhetőséget a Microsoft Word Rich Text Format (RTF) elemzőjének halmazsérüléséből adódó sebezhetőség okozza, amikor egy túl sok betűtípust (f###) tartalmazó betűtáblázatot (fonttbl) dolgoz fel. A támadó úgy használhatja ki, hogy rosszindulatú e-mailt küld vagy RTF hasznos terhet tartalmazó fájlt tölt fel, és arra csábítja a felhasználót, hogy nyissa meg a fájlt.
Amikor az áldozat megnyitja a rosszindulatú fájlt, a támadó hozzáférhet a fájl megnyitásához használt alkalmazáson belül tetszőleges kód futtatásához. Még az előnézeti ablak is felhasználható a támadás indítására. Ennek eredményeként ez rosszindulatú szoftverek telepítéséhez, érzékeny adatok ellopásához vagy más rosszindulatú tevékenységekhez vezethet.
A sebezhetőség 9.8-as (kritikus) CVSS pontszámot kapott a magas kihasználhatósága és az áldozat részéről szükséges minimális beavatkozás miatt.
Egy rosszindulatú kódot tartalmazó RFT-fájlt vizsgáltunk be a következőkkel OPSWAT MetaDefenderés megfigyeltük, hogy a 21 antimalware motorból csak 3 észlelte a fenyegetést. Ennek eredményeképpen egy olyan szervezet, amely a szignatúra-alapú észlelési módszerekre támaszkodik, potenciálisan sebezhetővé válhat a támadásokkal szemben.
A sebezhetőségi megoldások befolyásolják a termelékenységet
A Microsoft a 2023. február 14-i Patch Tuesday frissítésben tette közzé a javításokat. Az érintett termékek frissítését ajánlják.
Azon felhasználók számára, akik nem tudják alkalmazni a javítást, a Microsoft több megoldást javasol, hogy csökkentsék annak kockázatát, hogy a felhasználók ismeretlen vagy nem megbízható forrásból származó RTF-fájlokat nyissanak meg. A megoldások azonban nem könnyen megvalósíthatóak és nem is hatékonyak a rendszeres üzleti tevékenységek fenntartása szempontjából.
- A Microsoft azt javasolja, hogy az e-maileket egyszerű szöveges formátumban olvassák, amit a gazdag szöveg és a média hiánya miatt nem valószínű, hogy elfogadnak. Bár ez a megoldás kiküszöbölheti a veszélyt, nem támogatja a képek, animációk, félkövér vagy dőlt betűs szöveg, színes betűtípusok vagy más szövegformázások megjelenítését. Ez azt eredményezi, hogy az e-mailben található fontos információk jelentős mértékben elvesznek.
- Egy másik megoldás a Microsoft Office File Block házirend aktiválása, amely korlátozza az Office-alkalmazásokat az ismeretlen vagy nem megbízható eredetű RTF-fájlok megnyitásában. Ennek a módszernek az alkalmazásához módosítani kell a Windows rendszerleíró adatbázisát. Azonban óvatosságra van szükség, mivel a Registry Editor helytelen használata jelentős problémákat okozhat, amelyek az operációs rendszer újratelepítését tehetik szükségessé. Továbbá, ha nem jelöltek ki egy "mentes könyvtárat", fennáll a lehetősége annak, hogy a felhasználók nem tudnak majd megnyitni semmilyen RTF dokumentumot.
Maradjon biztonságban bonyolult megoldások vagy a használhatóság feláldozása nélkül
A bonyolult megoldások kezelése vagy a fájlok használhatóságának feláldozása helyett a Deep CDR (Content Disarm and Reconstruction)) kínál megoldást.
Deep CDR technológia véd a fejlett és nulladik napi fenyegetések ellen. Azonosítja és eltávolítja a rosszindulatú tartalmakat a beérkező fájlokból, például az e-mail mellékletekből vagy a fájlfeltöltésekből, miközben biztonságos, használható fájlokat biztosít.
Az RTF-fájlokban található összes beágyazott objektum eltávolításával és a fájlok ellenőrzött biztonságos összetevőkből történő rekonstruálásával a Deep CDR biztosítja, hogy a fájlok fertőtlenítettek és biztonságosak legyenek a hozzáféréshez, és ne tartalmazzanak semmilyen potenciális fenyegetést.
Deep CDR a folyamat a következő lépésekből áll:
A CDR-technológia rendkívül hatékonyan véd az ismeretlen és kifinomult fenyegetések ellen, mivel nem támaszkodik a rosszindulatú programok specifikus aláírásának felismerésére és blokkolására.
Deep CDR lehetővé teszi a rendszergazdák számára az RFT-fájlok szanálási folyamatának konfigurálását. Annak biztosítása érdekében, hogy a kimeneti fájlok sebezhetőségtől mentesek legyenek, minden RTF-fájl elemzésen megy keresztül a betűtábláikban lévő betűtípusok számának meghatározása érdekében. Ha a szám meghaladja az előre beállított határértéket, a betűtáblák eltávolításra kerülnek a fájlokból.
Alapértelmezés szerint a 4096-nál több betűtípust tartalmazó betűtáblákat, ami egy szabványos sapka, eltávolítja a rendszer. Ez a konfiguráció azonban testreszabható, hogy lehetővé tegye a megalapozott döntéshozatalt, és igazodjon az Ön konkrét felhasználási esetéhez.
Deep CDR mélyreható nézeteket nyújt, felsorolva a szanált objektumokat és a végrehajtott műveleteket - lehetővé téve, hogy megalapozott döntéseket hozzon a felhasználási esetnek megfelelő konfigurációk meghatározásához. Az alábbiakban a rosszindulatú RTF fájl eredménye látható a Deep CDR által végzett tisztítás után. A beágyazott betűtípus eltávolításra került, ami megszüntette a támadási vektort. Ennek eredményeképpen a felhasználók megnyithatják a fájlt anélkül, hogy aggódnának a veszélyeztetettség miatt.
Megfigyelhetjük, hogy a beágyazott abnormális betűtípus eltávolításra került, ha megnyitjuk mind az eredeti rosszindulatú RTF fájlt, mind a szanált változatot.
Fedezze fel a legjobb biztonsági megoldást a nulladik napi és a fejlett kitérő rosszindulatú szoftverek megelőzésére, ha többet megtud a Deep CDR-ről és a többszöri átvizsgálásról, vagy konzultál az OPSWAT technikai szakértőjével.
