A CVE-2023-21716-Microsoft Word RTF betűtípus-táblázat halmazrongálásának áttekintése
A Microsoft nemrégiben biztonsági tanácsadást adott ki a CVE-2023-21716 biztonsági résről, amely az Office, a SharePoint és a 365 alkalmazások több verzióját érintő kritikus távoli kódvégrehajtási (RCE) sebezhetőség.
Ezt a sebezhetőséget a Microsoft Word Rich Text Format (RTF) elemzőjének halmazsérüléséből adódó sebezhetőség okozza, amikor egy túl sok betűtípust (f###) tartalmazó betűtáblázatot (fonttbl) dolgoz fel. A támadó úgy használhatja ki, hogy rosszindulatú e-mailt küld vagy RTF hasznos terhet tartalmazó fájlt tölt fel, és arra csábítja a felhasználót, hogy nyissa meg a fájlt.
Amikor az áldozat megnyitja a rosszindulatú fájlt, a támadó hozzáférhet a fájl megnyitásához használt alkalmazáson belül tetszőleges kód futtatásához. Még az előnézeti ablak is felhasználható a támadás indítására. Ennek eredményeként ez rosszindulatú szoftverek telepítéséhez, érzékeny adatok ellopásához vagy más rosszindulatú tevékenységekhez vezethet.
A sebezhetőség 9.8-as (kritikus) CVSS pontszámot kapott a magas kihasználhatósága és az áldozat részéről szükséges minimális beavatkozás miatt.
Egy rosszindulatú kódot tartalmazó RFT-fájlt vizsgáltunk be a következőkkel OPSWAT MetaDefenderés megfigyeltük, hogy a 21 antimalware motorból csak 3 észlelte a fenyegetést. Ennek eredményeképpen egy olyan szervezet, amely a szignatúra-alapú észlelési módszerekre támaszkodik, potenciálisan sebezhetővé válhat a támadásokkal szemben.
A sebezhetőségi megoldások befolyásolják a termelékenységet
A Microsoft a 2023. február 14-i Patch Tuesday frissítésben tette közzé a javításokat. Az érintett termékek frissítését ajánlják.
Azon felhasználók számára, akik nem tudják alkalmazni a javítást, a Microsoft több megoldást javasol, hogy csökkentsék annak kockázatát, hogy a felhasználók ismeretlen vagy nem megbízható forrásból származó RTF-fájlokat nyissanak meg. A megoldások azonban nem könnyen megvalósíthatóak és nem is hatékonyak a rendszeres üzleti tevékenységek fenntartása szempontjából.
- A Microsoft azt javasolja, hogy az e-maileket egyszerű szöveges formátumban olvassák, amit a gazdag szöveg és a média hiánya miatt nem valószínű, hogy elfogadnak. Bár ez a megoldás kiküszöbölheti a veszélyt, nem támogatja a képek, animációk, félkövér vagy dőlt betűs szöveg, színes betűtípusok vagy más szövegformázások megjelenítését. Ez azt eredményezi, hogy az e-mailben található fontos információk jelentős mértékben elvesznek.
- Egy másik megoldás a Microsoft Office File Block házirend aktiválása, amely korlátozza az Office-alkalmazásokat az ismeretlen vagy nem megbízható eredetű RTF-fájlok megnyitásában. Ennek a módszernek az alkalmazásához módosítani kell a Windows rendszerleíró adatbázisát. Azonban óvatosságra van szükség, mivel a Registry Editor helytelen használata jelentős problémákat okozhat, amelyek az operációs rendszer újratelepítését tehetik szükségessé. Továbbá, ha nem jelöltek ki egy "mentes könyvtárat", fennáll a lehetősége annak, hogy a felhasználók nem tudnak majd megnyitni semmilyen RTF dokumentumot.
Maradjon biztonságban bonyolult megoldások vagy a használhatóság feláldozása nélkül
Ahelyett, hogy bonyolult megoldásokkal kellene bajlódni vagy a fájlok használhatóságát feláldozni, a Deep CDR™ technológia (Content Disarm and Reconstruction) kínál megoldást.
A Deep CDR™ technológia védelmet nyújt a fejlett és a zero-day fenyegetések ellen. Felismeri és eltávolítja a beérkező fájlokból – például e-mail mellékletekből vagy feltöltött fájlokból – a rosszindulatú tartalmakat, miközben biztonságos, használható fájlokat biztosít.
A Deep CDR™ technológia az RTF-fájlokban található összes beágyazott objektum eltávolításával, valamint a fájlok ellenőrzött, biztonságos összetevőkből történő újjáépítésével gondoskodik arról, hogy a fájlok megtisztítva és biztonságosan hozzáférhetők legyenek, minden lehetséges fenyegetéstől mentesen.
A Deep CDR™ technológia a következő lépésekből áll:
A CDR-technológia rendkívül hatékonyan véd az ismeretlen és kifinomult fenyegetések ellen, mivel nem támaszkodik a rosszindulatú programok specifikus aláírásának felismerésére és blokkolására.
A Deep CDR™ technológia lehetővé teszi a rendszergazdák számára, hogy beállítsák az RTF-fájlok tisztítási folyamatát. Annak biztosítására, hogy a kimeneti fájlok ne tartalmazzanak biztonsági réseket, minden RTF-fájlt elemzésnek vetnek alá, hogy meghatározzák a betűtáblákban szereplő betűtípusok számát. Ha ez a szám meghaladja az előre beállított határértéket, a betűtáblákat eltávolítják a fájlokból.
Alapértelmezés szerint a 4096-nál több betűtípust tartalmazó betűtáblákat, ami egy szabványos sapka, eltávolítja a rendszer. Ez a konfiguráció azonban testreszabható, hogy lehetővé tegye a megalapozott döntéshozatalt, és igazodjon az Ön konkrét felhasználási esetéhez.
A Deep CDR™ technológia részletes áttekintést nyújt, felsorolva a megtisztított objektumokat és az elvégzett műveleteket – így Ön megalapozott döntéseket hozhat, és olyan konfigurációkat állíthat be, amelyek megfelelnek az Ön igényeinek. Az alábbiakban látható a rosszindulatú RTF-fájl eredménye a Deep CDR™ technológiával történő megtisztítás után. A beágyazott betűtípust eltávolították, ezzel megszüntetve a támadási felületet. Ennek köszönhetően a felhasználók nyugodtan megnyithatják a fájlt, anélkül, hogy aggódniuk kellene a biztonsági kockázat miatt.
Megfigyelhetjük, hogy a beágyazott abnormális betűtípus eltávolításra került, ha megnyitjuk mind az eredeti rosszindulatú RTF fájlt, mind a szanált változatot.
Fedezze fel a legjobb biztonsági megoldást a zero-day és a fejlett, felderítést elkerülő kártevő programok elleni védelemhez, és ismerje meg a Deep CDR™ technológiát, valamint Multiscanning, vagy az OPSWAT szakértőjével való konzultáció révén.
