Visão geral do CVE-2023-21716 - Corrupção da pilha da tabela de fontes RTF do Microsoft Word
A Microsoft emitiu recentemente um aviso de segurança que descreve a CVE-2023-21716, uma vulnerabilidade crítica de Execução Remota de Código (RCE) que afecta várias versões do Office, do SharePoint e das Aplicações 365.
Esta vulnerabilidade é desencadeada por uma vulnerabilidade de corrupção de heap no analisador Rich Text Format (RTF) do Microsoft Word ao processar uma tabela de tipos de letra (fonttbl) que contém um número excessivo de tipos de letra (f###). Pode ser explorada por um atacante enviando uma mensagem de correio eletrónico malicioso ou carregando um ficheiro que contenha uma carga útil RTF e incitando o utilizador a abrir o ficheiro.
Quando a vítima abre o ficheiro malicioso, o atacante ganha acesso para executar código arbitrário na aplicação utilizada para abrir o ficheiro. Mesmo o painel de pré-visualização também pode ser utilizado para lançar um ataque. Como resultado, isto pode levar à instalação de malware, roubo de dados sensíveis ou outras actividades maliciosas.
A vulnerabilidade recebeu uma pontuação CVSS de 9,8 (Crítica) devido à sua elevada capacidade de exploração e à interação mínima exigida à vítima.
Analisámos um ficheiro RFT que contém código malicioso utilizando OPSWAT MetaDefendere observámos que apenas 3 dos 21 motores antimalware detectaram a ameaça. Como resultado, uma organização que dependa de métodos de deteção baseados em assinaturas pode tornar-se potencialmente vulnerável a ataques.
As soluções alternativas para as vulnerabilidades afectam a produtividade
A Microsoft publicou correcções na atualização de 14 de fevereiro de 2023, Patch Tuesday. Recomenda-se a atualização dos produtos afectados.
Para os utilizadores que não podem aplicar a correção, a Microsoft sugere várias soluções alternativas para reduzir o risco de os utilizadores abrirem ficheiros RTF a partir de fontes desconhecidas ou não confiáveis. No entanto, as soluções alternativas não são fáceis de implementar nem eficientes na manutenção das actividades comerciais regulares.
- A Microsoft sugere a leitura de mensagens de correio eletrónico em formato de texto simples, o que é pouco provável que seja adotado devido à falta de texto rico e de meios de comunicação. Embora esta solução possa eliminar a ameaça, não suporta a apresentação de imagens, animações, texto em negrito ou itálico, tipos de letra coloridos ou outra formatação de texto. Isto resulta numa perda substancial de informações cruciais na mensagem de correio eletrónico.
- Outra solução é ativar a política de Bloqueio de Ficheiros do Microsoft Office, que impede as aplicações do Office de abrir ficheiros RTF com origens desconhecidas ou não confiáveis. É necessário modificar o Registo do Windows para implementar este método. No entanto, é necessário ter cuidado, uma vez que a utilização incorrecta do Editor de Registo pode causar problemas significativos que podem exigir a reinstalação do sistema operativo. Além disso, se não tiver sido designado um "diretório isento", é possível que os utilizadores não consigam abrir quaisquer documentos RTF.
Mantenha-se seguro sem ter de recorrer a soluções complicadas ou sacrificar a usabilidade
Instead of handling intricate solutions or sacrificing file usability, Deep CDR™ Technology (Content Disarm and Reconstruction)) offers a remedy.
Deep CDR™ Technology protects against advanced and zero-day threats. It identifies and removes malicious content from incoming files, such as email attachments or file uploads, while providing safe, usable files.
By removing all embedded objects in RTF files and reconstructing files from verified secure components, Deep CDR™ Technology ensures the files are sanitized and secure for access, devoid of any potential threats.
Deep CDR™ Technology process involves the following steps:
A tecnologia CDR é altamente eficaz na proteção contra ameaças desconhecidas e sofisticadas, uma vez que não se baseia na deteção e bloqueio de assinaturas de malware específicas.
Deep CDR™ Technology enables administrators to configure the sanitization process for RFT files. To ensure that the output files are vulnerability-free, all RTF files undergo analysis to determine the number of fonts in their font tables. If the count exceeds a preconfigured limit, the font tables are eliminated from the files.
Por predefinição, as tabelas de tipos de letra com mais de 4096 tipos de letra, um limite padrão, são removidas. No entanto, esta configuração pode ser personalizada para permitir uma tomada de decisão informada e para se alinhar com o seu caso de utilização específico.
Deep CDR™ Technology provides in-depth views, listing the sanitized objects and actions taken—enabling you to make informed choices to define configurations that meet your use case. Below is the result of the malicious RTF file after being sanitized by Deep CDR™ Technology. The embedded font was removed, which eliminated the attack vector. As a result, users can open the file without worrying about being compromised.
Podemos observar que a fonte anormal incorporada foi removida ao abrir o ficheiro RTF malicioso original e a versão higienizada.
Discover the best security solution to prevent zero-day and advanced evasive malware by learning more about Deep CDR™ Technology and Multiscanning, or by consulting with an OPSWAT technical expert.
