【风险通告】Microsoft Word远程代码执行漏洞(CVE-2023-21716)

admin 2023年3月7日14:35:52评论211 views字数 3585阅读11分57秒阅读模式
一、漏洞概述
CVE   ID
CVE-2023-21716
发现时间
2023-02-15
类    型
RCE
等    级
严重
远程利用
所需权限
攻击复杂度
用户交互
PoC/EXP
已公开
在野利用

近日,启明星辰VSRC监测到Microsoft Word远程代码执行漏洞(CVE-2023-21716)的PoC在互联网上公开,该漏洞已在微软2023年2月补丁中修复,其CVSSv3评分为9.8。

Microsoft Word 中的 RTF 解析器在处理包含过多字体 (*f###*) 的字体表 (*fonttbl *)时存在堆损坏漏洞,未经身份验证的威胁者可以发送包含 RTF Payload的恶意电子邮件(或其它方式),以打开恶意 RTF 文档的受害者的权限执行任意代码。

注意,预览窗格是该漏洞的攻击媒介之一,即用户不必打开恶意 RTF 文档,只需在预览窗格中加载文件便可触发执行。


二、影响范围

Microsoft Office 2019 for 32-bit editions

Microsoft Office 2019 for 64-bit editions

Microsoft Word 2013 Service Pack 1 (64-bit editions)

Microsoft Word 2013 RT Service Pack 1

Microsoft Word 2013 Service Pack 1 (32-bit editions)

Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft Office Web Apps Server 2013 Service Pack 1

Microsoft Word 2016 (32-bit edition)

Microsoft Word 2016 (64-bit edition)

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2013 Service Pack 1

Microsoft SharePoint Enterprise Server 2016

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft Office 2019 for Mac

Microsoft Office Online Server

SharePoint Server Subscription Edition Language Pack

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft SharePoint Server Subscription Edition

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Office LTSC for Mac 2021


三、安全措施

3.1 升级版本

目前该漏洞已在微软2023年2月补丁中修复,受影响用户可尽快安装更新。

下载链接:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716

3.2 临时措施

l使用 Microsoft Outlook 降低用户打开来自未知或不受信任来源的 RTF 文件的风险。如阅读纯文本格式的电子邮件(以纯文本格式查看的电子邮件将不包含图片、专用字体、动画或其他丰富的内容,或将遇到其它问题),有关如何配置 Microsoft Outlook 以阅读所有纯文本标准邮件的指南,请参考微软官方公共中的相关链接。

l使用 Microsoft Office 文件阻止策略来防止 Office 打开来自未知或不受信任来源的 RTF 文档。注意,该方法需要修改注册表编辑器,不正确修改可能会导致严重问题,可能需要重装系统。此外,已配置文件阻止策略但未配置特殊“豁免目录”的用户将无法打开以 RTF 格式保存的文档,可参考:https://learn.microsoft.com/en-us/office/troubleshoot/settings/file-blocked-in-office

A.对于 Office 2013

1.以管理员身份运行 regedit.exe 并导航到以下子项:

`[HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0WordSecurityFileBlock]`

2.将 RtfFiles DWORD 值设置为 2。

3.将 OpenInProtectedView DWORD 值设置为 0。

对于 Office 2013,撤销上述操作:

1.以管理员身份运行 regedit.exe 并导航到以下子项:

`[HKEY_CURRENT_USERSoftwareMicrosoftOffice15.0WordSecurityFileBlock]`

2.将 RtfFiles DWORD 值设置为 0。

3.将 OpenInProtectedView DWORD 值设置为 0。


B.对于 Office 2016

1.以管理员身份运行 regedit.exe 并导航到以下子项:

`[HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0WordSecurityFileBlock]`

2.将RtfFiles DWORD 值设置为2。

3.将 OpenInProtectedView DWORD 值设置为0。

对于 Office 2016,撤销上述操作:

1.以管理员身份运行 regedit.exe 并导航到以下子项:

`[HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0WordSecurityFileBlock]`

2.将RtfFiles DWORD 值设置为0。

3.将 OpenInProtectedView DWORD 值设置为0。


C、对于 Office 2019

1.以管理员身份运行 regedit.exe 并导航到以下子项:

`[HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0WordSecurityFileBlock]`

2.将RtfFiles DWORD 值设置为2。

3.将 OpenInProtectedView DWORD 值设置为0。

对于 Office 2019,撤销上述操作:

1.以管理员身份运行 regedit.exe 并导航到以下子项:

`[HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0WordSecurityFileBlock]`

2.将RtfFiles DWORD 值设置为0。

3.将 OpenInProtectedView DWORD 值设置为0。


D、对于 Office 2021

以管理员身份运行 regedit.exe 并导航到以下子项:

`[HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0WordSecurityFileBlock]`

2.将RtfFiles DWORD 值设置为2。

3.将 OpenInProtectedView DWORD 值设置为0。

对于 Office 2021,撤销上述操作:

1.以管理员身份运行 regedit.exe 并导航到以下子项:

`[HKEY_CURRENT_USERSoftwareMicrosoftOffice16.0WordSecurityFileBlock]`

2.将RtfFiles DWORD 值设置为0。

3.将 OpenInProtectedView DWORD 值设置为0。

3.3 通用建议

定期更新系统补丁,减少系统漏洞,提升服务器的安全性。

加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。

使用企业级安全产品,提升企业的网络安全性能。

加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716

https://qoop.org/publications/cve-2023-21716-rtf-fonttbl.md

https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/

https://twitter.com/jduck


原文始发于微信公众号(维他命安全):【风险通告】Microsoft Word远程代码执行漏洞(CVE-2023-21716)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月7日14:35:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【风险通告】Microsoft Word远程代码执行漏洞(CVE-2023-21716)https://cn-sec.com/archives/1591711.html

发表评论

匿名网友 填写信息