行业资讯｜针对Microsoft Word RCE 关键漏洞发布PoC

点击上方蓝字关注我们

针对Microsoft Word中一个允许远程代码执行的关键漏洞（CVE-2023-21716）于周末公布了PoC。

该漏洞的严重性评分为9.8（满分10分），微软在二月补丁星期二的安全更新中对其进行了处理，并提供了一些解决方案。严重性得分主要是由于攻击复杂性低，且不需要特别的权限和用户交互就能触发。

PoC

安全研究员Joshua Drake去年发现了Microsoft Office “wwlib.dll” 中的漏洞，并向微软发送了一份技术报告，其中包含PoC代码，表明该漏洞是可利用的。

远程攻击者可能会利用此漏洞以与打开恶意RTF文档的受害者相同的权限执行代码。而将恶意文件传递给受害者就像发邮件附件一样容易，并且还有很多种其他方法。

微软警告说，用户甚至不用打开恶意RTF文档，只需在预览窗格中加载该文件就足以让攻击者入侵。

研究员解释道，Microsoft Word中的RTF分析器中存在堆损坏的漏洞，“当处理含有过多字体（*f###*）的字体表（*fonttbl*）时 ”会触发该漏洞。

Drake表示，内存损坏发生后还有额外的处理，攻击者可以通过使用“精心设计的堆布局”来利用该漏洞执行任意代码。

研究员的PoC显示了堆损坏问题，但没有在Windows中启动计算器应用程序来演示代码执行。

最初，该PoC有十几行，包括注释。自从2022年11月发送给微软的报告以来，研究员删减了一些行数，并设法将所有内容纳入一条推文。

目前没有迹象表明该漏洞正在被利用，微软目前的评估是，利用该漏洞的可能性“较小”。

像这样的关键漏洞很容易引起攻击者的注意，更有攻击者会试图对修复程序进行逆向工程，以找到利用它的方法。

通常，当漏洞利用代码可用时，会有更多的攻击者开始使用该漏洞，因为修改PoC所需的工作量比从头开始利用漏洞要少很多。

目前尚不清楚Joshua Drake发布的PoC是否可以被武器化为一个全面的漏洞利用，因为它只显示了利用的可能性，但没有证明它。

然而，微软这种远程执行代码非常吸引关注，因为它允许通过电子邮件大规模分发恶意软件。

微软公式编辑器中的一个类似的漏洞早已被修补，但现在仍被用于一些活动中。

可采取措施

受该漏洞影响的Microsoft Office产品的完整列表可在微软安全公告中找到。

对于无法应用修复程序的用户，微软建议以纯文本格式阅读电子邮件，但由于带来的不便（缺乏图像和丰富的内容），用户不太可能采纳这种做法。

另一个解决方法是启用Microsoft Office File Block Policy，防止Office应用程序打开来源不明或不可信任的RTF文档。

这种方法需要修改Windows注册表，并有一个注意事项，“如果注册表编辑器使用不当，可能会导致严重问题，例如用户有可能需要重新安装操作系统"。

此外，如果没有设置 “豁免列表”，用户有可能无法打开任何RTF文档。

即使目前还没有完整的漏洞利用，并且只是理论上的，但安装微软的安全更新仍然是处理该漏洞的最安全方式。

原文链接🔗

https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/

来源：BleepingComputer

往期推荐

Cisco修复多个IP电话中的关键Web UI RCE漏洞

虚假ChatGPT应用程序泛滥

原文始发于微信公众号（360漏洞研究院）：行业资讯｜针对Microsoft Word RCE 关键漏洞发布PoC