Überblick über CVE-2023-21716-Microsoft Word RTF Font Table Heap Corruption
Microsoft hat kürzlich einen Sicherheitshinweis veröffentlicht, in dem CVE-2023-21716 beschrieben wird, eine kritische Remote Code Execution (RCE)-Schwachstelle, die mehrere Versionen von Office, SharePoint und 365 Applications betrifft.
Diese Sicherheitslücke wird durch eine Heap Corruption-Schwachstelle im RTF-Parser (Rich Text Format) von Microsoft Word bei der Verarbeitung einer Schriftartentabelle (fonttbl) mit einer übermäßigen Anzahl von Schriftarten (f###) ausgelöst. Sie kann von einem Angreifer ausgenutzt werden, indem er eine bösartige E-Mail sendet oder eine Datei hochlädt, die RTF-Nutzdaten enthält, und den Benutzer dazu verleitet, die Datei zu öffnen.
Wenn das Opfer die bösartige Datei öffnet, erhält der Angreifer Zugriff, um beliebigen Code in der Anwendung auszuführen, die zum Öffnen der Datei verwendet wird. Auch das Vorschaufenster kann für einen Angriff genutzt werden. Dies kann zur Installation von Malware, zum Diebstahl sensibler Daten oder zu anderen bösartigen Aktivitäten führen.
Die Schwachstelle wurde mit dem CVSS-Score 9.8 (kritisch) bewertet, da sie sehr leicht ausgenutzt werden kann und nur minimale Interaktion seitens des Opfers erforderlich ist.
Wir haben eine RFT-Datei, die bösartigen Code enthält, mit OPSWAT MetaDefenderund stellten fest, dass nur 3 von 21 Antimalware-Engines die Bedrohung erkannten. Ein Unternehmen, das sich auf signaturbasierte Erkennungsmethoden verlässt, könnte daher anfällig für Angriffe werden.
Umgehungslösungen für Schwachstellen beeinträchtigen die Produktivität
Microsoft hat mit dem Patch Tuesday-Update vom 14. Februar 2023 Patches veröffentlicht. Es wird empfohlen, die betroffenen Produkte zu aktualisieren.
Für Benutzer, die den Fix nicht anwenden können, schlägt Microsoft mehrere Umgehungsmöglichkeiten vor, um das Risiko zu verringern, dass Benutzer RTF-Dateien aus unbekannten oder nicht vertrauenswürdigen Quellen öffnen. Die Umgehungslösungen sind jedoch weder einfach zu implementieren noch effizient für die Aufrechterhaltung der regulären Geschäftsaktivitäten.
- Microsoft schlägt vor, E-Mails im reinen Textformat zu lesen, was aufgrund des Fehlens von Rich Text und Medien wahrscheinlich nicht angenommen wird. Diese Lösung kann zwar die Bedrohung beseitigen, unterstützt aber nicht die Anzeige von Bildern, Animationen, fett oder kursiv geschriebenem Text, farbigen Schriftarten oder anderen Textformatierungen. Dies führt zu einem erheblichen Verlust an wichtigen Informationen in der E-Mail.
- Eine andere Lösung besteht darin, die Microsoft Office File Block Policy zu aktivieren, die verhindert, dass Office-Anwendungen RTF-Dateien unbekannter oder nicht vertrauenswürdiger Herkunft öffnen. Um diese Methode zu implementieren, muss die Windows-Registrierung geändert werden. Es ist jedoch Vorsicht geboten, da eine unsachgemäße Verwendung des Registrierungseditors zu erheblichen Problemen führen kann, die eine Neuinstallation des Betriebssystems erforderlich machen können. Außerdem besteht die Möglichkeit, dass die Benutzer keine RTF-Dokumente öffnen können, wenn kein "ausgenommenes Verzeichnis" festgelegt wurde.
Bleiben Sie sicher, ohne komplizierte Workarounds oder Einbußen bei der Benutzerfreundlichkeit
Anstatt komplizierte Lösungen zu verwenden oder die Verwendbarkeit von Dateien zu beeinträchtigen, bietet die Deep CDR™-Technologie (Content Disarm and Reconstruction) eine Lösung.
Die Deep CDR™-Technologie schützt vor hochentwickelten Bedrohungen und Zero-Day-Angriffen. Sie identifiziert und entfernt schädliche Inhalte aus eingehenden Dateien, wie E-Mail-Anhängen oder Datei-Uploads, und stellt gleichzeitig sichere, nutzbare Dateien bereit.
Durch das Entfernen aller eingebetteten Objekte in RTF-Dateien und die Rekonstruktion der Dateien aus verifizierten sicheren Komponenten stellt die Deep CDR™-Technologie sicher, dass die Dateien bereinigt und für den Zugriff sicher sind und keine potenziellen Bedrohungen enthalten.
Der Deep CDR™-Technologieprozess umfasst die folgenden Schritte:
Die CDR-Technologie bietet einen äußerst wirksamen Schutz vor unbekannten und hochentwickelten Bedrohungen, da sie nicht auf der Erkennung und Blockierung spezifischer Malware-Signaturen beruht.
Mit der Deep CDR™-Technologie können Administratoren den Bereinigungsprozess für RTF-Dateien konfigurieren. Um sicherzustellen, dass die Ausgabedateien keine Sicherheitslücken aufweisen, werden alle RTF-Dateien einer Analyse unterzogen, um die Anzahl der Schriftarten in ihren Schriftartentabellen zu ermitteln. Wenn die Anzahl einen vorkonfigurierten Grenzwert überschreitet, werden die Schriftartentabellen aus den Dateien entfernt.
Standardmäßig werden Schriftartentabellen mit mehr als 4096 Schriftarten, einer Standardobergrenze, entfernt. Diese Konfiguration kann jedoch angepasst werden, um eine fundierte Entscheidungsfindung zu ermöglichen und Ihrem spezifischen Anwendungsfall gerecht zu werden.
Die Deep CDR™-Technologie bietet detaillierte Einblicke, listet die bereinigten Objekte und durchgeführten Maßnahmen auf und ermöglicht Ihnen so, fundierte Entscheidungen zu treffen, um Konfigurationen zu definieren, die Ihrem Anwendungsfall entsprechen. Nachfolgend sehen Sie das Ergebnis der bösartigen RTF-Datei nach der Bereinigung durch die Deep CDR™-Technologie. Die eingebettete Schriftart wurde entfernt, wodurch der Angriffsvektor beseitigt wurde. Dadurch können Benutzer die Datei öffnen, ohne sich Sorgen machen zu müssen, dass sie kompromittiert werden.
Wir können feststellen, dass die abnormale eingebettete Schriftart entfernt wurde, indem wir sowohl die ursprüngliche bösartige RTF-Datei als auch die bereinigte Version öffnen.
Entdecken Sie die beste Sicherheitslösung zum Schutz vor Zero-Day- und hochentwickelter Malware, indem Sie mehr über Deep CDR™-Technologie und Multiscanningoder wenden Sie sich an einen OPSWAT Experten OPSWAT .
