Visão geral do CVE-2023-21716 - Corrupção da pilha da tabela de fontes RTF do Microsoft Word
A Microsoft emitiu recentemente um aviso de segurança que descreve a CVE-2023-21716, uma vulnerabilidade crítica de Execução Remota de Código (RCE) que afecta várias versões do Office, do SharePoint e das Aplicações 365.
Esta vulnerabilidade é desencadeada por uma vulnerabilidade de corrupção de heap no analisador Rich Text Format (RTF) do Microsoft Word ao processar uma tabela de tipos de letra (fonttbl) que contém um número excessivo de tipos de letra (f###). Pode ser explorada por um atacante enviando uma mensagem de correio eletrónico malicioso ou carregando um ficheiro que contenha uma carga útil RTF e incitando o utilizador a abrir o ficheiro.
Quando a vítima abre o ficheiro malicioso, o atacante ganha acesso para executar código arbitrário na aplicação utilizada para abrir o ficheiro. Mesmo o painel de pré-visualização também pode ser utilizado para lançar um ataque. Como resultado, isto pode levar à instalação de malware, roubo de dados sensíveis ou outras actividades maliciosas.
A vulnerabilidade recebeu uma pontuação CVSS de 9,8 (Crítica) devido à sua elevada capacidade de exploração e à interação mínima exigida à vítima.
Analisámos um ficheiro RFT que contém código malicioso utilizando OPSWAT MetaDefendere observámos que apenas 3 dos 21 motores antimalware detectaram a ameaça. Como resultado, uma organização que dependa de métodos de deteção baseados em assinaturas pode tornar-se potencialmente vulnerável a ataques.
As soluções alternativas para as vulnerabilidades afectam a produtividade
A Microsoft publicou correcções na atualização de 14 de fevereiro de 2023, Patch Tuesday. Recomenda-se a atualização dos produtos afectados.
Para os utilizadores que não podem aplicar a correção, a Microsoft sugere várias soluções alternativas para reduzir o risco de os utilizadores abrirem ficheiros RTF a partir de fontes desconhecidas ou não confiáveis. No entanto, as soluções alternativas não são fáceis de implementar nem eficientes na manutenção das actividades comerciais regulares.
- A Microsoft sugere a leitura de mensagens de correio eletrónico em formato de texto simples, o que é pouco provável que seja adotado devido à falta de texto rico e de meios de comunicação. Embora esta solução possa eliminar a ameaça, não suporta a apresentação de imagens, animações, texto em negrito ou itálico, tipos de letra coloridos ou outra formatação de texto. Isto resulta numa perda substancial de informações cruciais na mensagem de correio eletrónico.
- Outra solução é ativar a política de Bloqueio de Ficheiros do Microsoft Office, que impede as aplicações do Office de abrir ficheiros RTF com origens desconhecidas ou não confiáveis. É necessário modificar o Registo do Windows para implementar este método. No entanto, é necessário ter cuidado, uma vez que a utilização incorrecta do Editor de Registo pode causar problemas significativos que podem exigir a reinstalação do sistema operativo. Além disso, se não tiver sido designado um "diretório isento", é possível que os utilizadores não consigam abrir quaisquer documentos RTF.
Mantenha-se seguro sem ter de recorrer a soluções complicadas ou sacrificar a usabilidade
Em vez de lidar com soluções complexas ou sacrificar a usabilidade dos ficheiros, o Deep CDR (Content Disarm and Reconstruction)) oferece uma solução.
Deep CDR protege contra ameaças avançadas e de dia zero. Identifica e remove conteúdos maliciosos dos ficheiros recebidos, como anexos de correio eletrónico ou carregamentos de ficheiros, ao mesmo tempo que fornece ficheiros seguros e utilizáveis.
Ao remover todos os objectos incorporados nos ficheiros RTF e ao reconstruir os ficheiros a partir de componentes seguros verificados, o Deep CDR garante que os ficheiros são higienizados e seguros para acesso, desprovidos de quaisquer potenciais ameaças.
Deep CDR O processo envolve as seguintes etapas:
A tecnologia CDR é altamente eficaz na proteção contra ameaças desconhecidas e sofisticadas, uma vez que não se baseia na deteção e bloqueio de assinaturas de malware específicas.
Deep CDR permite que os administradores configurem o processo de sanitização dos ficheiros RTF. Para garantir que os ficheiros de saída estão livres de vulnerabilidades, todos os ficheiros RTF são submetidos a uma análise para determinar o número de tipos de letra nas respectivas tabelas de tipos de letra. Se a contagem exceder um limite pré-configurado, as tabelas de tipos de letra são eliminadas dos ficheiros.
Por predefinição, as tabelas de tipos de letra com mais de 4096 tipos de letra, um limite padrão, são removidas. No entanto, esta configuração pode ser personalizada para permitir uma tomada de decisão informada e para se alinhar com o seu caso de utilização específico.
Deep CDR fornece visualizações detalhadas, listando os objectos higienizados e as acções tomadas - permitindo-lhe fazer escolhas informadas para definir configurações que satisfaçam o seu caso de utilização. Abaixo está o resultado do ficheiro RTF malicioso depois de ter sido sanitizado por Deep CDR. A fonte incorporada foi removida, o que eliminou o vetor de ataque. Como resultado, os utilizadores podem abrir o ficheiro sem se preocuparem com a possibilidade de serem comprometidos.
Podemos observar que a fonte anormal incorporada foi removida ao abrir o ficheiro RTF malicioso original e a versão higienizada.
Descubra a melhor solução de segurança para evitar o malware de dia zero e o malware evasivo avançado, sabendo mais sobre Deep CDR e Multiscanningou consultando um especialista técnico em OPSWAT .
