Überblick über CVE-2023-21716-Microsoft Word RTF Font Table Heap Corruption
Microsoft hat kürzlich einen Sicherheitshinweis veröffentlicht, in dem CVE-2023-21716 beschrieben wird, eine kritische Remote Code Execution (RCE)-Schwachstelle, die mehrere Versionen von Office, SharePoint und 365 Applications betrifft.
Diese Sicherheitslücke wird durch eine Heap Corruption-Schwachstelle im RTF-Parser (Rich Text Format) von Microsoft Word bei der Verarbeitung einer Schriftartentabelle (fonttbl) mit einer übermäßigen Anzahl von Schriftarten (f###) ausgelöst. Sie kann von einem Angreifer ausgenutzt werden, indem er eine bösartige E-Mail sendet oder eine Datei hochlädt, die RTF-Nutzdaten enthält, und den Benutzer dazu verleitet, die Datei zu öffnen.
Wenn das Opfer die bösartige Datei öffnet, erhält der Angreifer Zugriff, um beliebigen Code in der Anwendung auszuführen, die zum Öffnen der Datei verwendet wird. Auch das Vorschaufenster kann für einen Angriff genutzt werden. Dies kann zur Installation von Malware, zum Diebstahl sensibler Daten oder zu anderen bösartigen Aktivitäten führen.
Die Schwachstelle wurde mit dem CVSS-Score 9.8 (kritisch) bewertet, da sie sehr leicht ausgenutzt werden kann und nur minimale Interaktion seitens des Opfers erforderlich ist.
Wir haben eine RFT-Datei, die bösartigen Code enthält, mit OPSWAT MetaDefenderund stellten fest, dass nur 3 von 21 Antimalware-Engines die Bedrohung erkannten. Ein Unternehmen, das sich auf signaturbasierte Erkennungsmethoden verlässt, könnte daher anfällig für Angriffe werden.
Umgehungslösungen für Schwachstellen beeinträchtigen die Produktivität
Microsoft hat mit dem Patch Tuesday-Update vom 14. Februar 2023 Patches veröffentlicht. Es wird empfohlen, die betroffenen Produkte zu aktualisieren.
Für Benutzer, die den Fix nicht anwenden können, schlägt Microsoft mehrere Umgehungsmöglichkeiten vor, um das Risiko zu verringern, dass Benutzer RTF-Dateien aus unbekannten oder nicht vertrauenswürdigen Quellen öffnen. Die Umgehungslösungen sind jedoch weder einfach zu implementieren noch effizient für die Aufrechterhaltung der regulären Geschäftsaktivitäten.
- Microsoft schlägt vor, E-Mails im reinen Textformat zu lesen, was aufgrund des Fehlens von Rich Text und Medien wahrscheinlich nicht angenommen wird. Diese Lösung kann zwar die Bedrohung beseitigen, unterstützt aber nicht die Anzeige von Bildern, Animationen, fett oder kursiv geschriebenem Text, farbigen Schriftarten oder anderen Textformatierungen. Dies führt zu einem erheblichen Verlust an wichtigen Informationen in der E-Mail.
- Eine andere Lösung besteht darin, die Microsoft Office File Block Policy zu aktivieren, die verhindert, dass Office-Anwendungen RTF-Dateien unbekannter oder nicht vertrauenswürdiger Herkunft öffnen. Um diese Methode zu implementieren, muss die Windows-Registrierung geändert werden. Es ist jedoch Vorsicht geboten, da eine unsachgemäße Verwendung des Registrierungseditors zu erheblichen Problemen führen kann, die eine Neuinstallation des Betriebssystems erforderlich machen können. Außerdem besteht die Möglichkeit, dass die Benutzer keine RTF-Dokumente öffnen können, wenn kein "ausgenommenes Verzeichnis" festgelegt wurde.
Bleiben Sie sicher, ohne komplizierte Workarounds oder Einbußen bei der Benutzerfreundlichkeit
Statt mit komplizierten Lösungen zu hantieren oder die Nutzbarkeit der Dateien zu opfern, bietet Deep CDR (Content Disarm and Reconstruction)) Abhilfe.
Deep CDR Technologie schützt vor fortgeschrittenen und Zero-Day-Bedrohungen. Sie identifiziert und entfernt bösartige Inhalte aus eingehenden Dateien, z. B. aus E-Mail-Anhängen oder Dateiuploads, und stellt gleichzeitig sichere, nutzbare Dateien bereit.
Durch das Entfernen aller eingebetteten Objekte in RTF-Dateien und die Rekonstruktion der Dateien aus überprüften sicheren Komponenten stellt Deep CDR sicher, dass die Dateien bereinigt und sicher für den Zugriff sind und keine potenziellen Bedrohungen enthalten.
Deep CDR Der Prozess umfasst die folgenden Schritte:
Die CDR-Technologie bietet einen äußerst wirksamen Schutz vor unbekannten und hochentwickelten Bedrohungen, da sie nicht auf der Erkennung und Blockierung spezifischer Malware-Signaturen beruht.
Deep CDR ermöglicht es Administratoren, den Bereinigungsprozess für RFT-Dateien zu konfigurieren. Um sicherzustellen, dass die Ausgabedateien frei von Sicherheitslücken sind, werden alle RTF-Dateien einer Analyse unterzogen, um die Anzahl der Schriftarten in ihren Schriftartentabellen zu ermitteln. Übersteigt die Anzahl einen vorkonfigurierten Grenzwert, werden die Schrifttabellen aus den Dateien entfernt.
Standardmäßig werden Schriftartentabellen mit mehr als 4096 Schriftarten, einer Standardobergrenze, entfernt. Diese Konfiguration kann jedoch angepasst werden, um eine fundierte Entscheidungsfindung zu ermöglichen und Ihrem spezifischen Anwendungsfall gerecht zu werden.
Deep CDR bietet detaillierte Ansichten, in denen die bereinigten Objekte und die durchgeführten Aktionen aufgelistet sind - so können Sie fundierte Entscheidungen treffen, um Konfigurationen zu definieren, die Ihrem Anwendungsfall entsprechen. Nachfolgend sehen Sie das Ergebnis der bösartigen RTF-Datei nach der Bereinigung durch Deep CDR. Die eingebettete Schriftart wurde entfernt, wodurch der Angriffsvektor beseitigt wurde. Daher können Benutzer die Datei öffnen, ohne befürchten zu müssen, kompromittiert zu werden.
Wir können feststellen, dass die abnormale eingebettete Schriftart entfernt wurde, indem wir sowohl die ursprüngliche bösartige RTF-Datei als auch die bereinigte Version öffnen.
Entdecken Sie die beste Sicherheitslösung zum Schutz vor Zero-Day- und Advanced Evasive-Malware, indem Sie mehr über Deep CDR und Multiscanningerfahren oder sich von einem technischen Experten von OPSWAT beraten lassen.
