点击上方蓝字关注我们
针对Microsoft Word中一个允许远程代码执行的关键漏洞(CVE-2023-21716)于周末公布了PoC。
PoC
安全研究员Joshua Drake去年发现了Microsoft Office “wwlib.dll” 中的漏洞,并向微软发送了一份技术报告,其中包含PoC代码,表明该漏洞是可利用的。
远程攻击者可能会利用此漏洞以与打开恶意RTF文档的受害者相同的权限执行代码。而将恶意文件传递给受害者就像发邮件附件一样容易,并且还有很多种其他方法。
微软警告说,用户甚至不用打开恶意RTF文档,只需在预览窗格中加载该文件就足以让攻击者入侵。
研究员解释道,Microsoft Word中的RTF分析器中存在堆损坏的漏洞,“当处理含有过多字体(*f###*)的字体表(*fonttbl*)时 ”会触发该漏洞。
Drake表示,内存损坏发生后还有额外的处理,攻击者可以通过使用“精心设计的堆布局”来利用该漏洞执行任意代码。
研究员的PoC显示了堆损坏问题,但没有在Windows中启动计算器应用程序来演示代码执行。
最初,该PoC有十几行,包括注释。自从2022年11月发送给微软的报告以来,研究员删减了一些行数,并设法将所有内容纳入一条推文。
目前没有迹象表明该漏洞正在被利用,微软目前的评估是,利用该漏洞的可能性“较小”。
像这样的关键漏洞很容易引起攻击者的注意,更有攻击者会试图对修复程序进行逆向工程,以找到利用它的方法。
通常,当漏洞利用代码可用时,会有更多的攻击者开始使用该漏洞,因为修改PoC所需的工作量比从头开始利用漏洞要少很多。
目前尚不清楚Joshua Drake发布的PoC是否可以被武器化为一个全面的漏洞利用,因为它只显示了利用的可能性,但没有证明它。
然而,微软这种远程执行代码非常吸引关注,因为它允许通过电子邮件大规模分发恶意软件。
微软公式编辑器中的一个类似的漏洞早已被修补,但现在仍被用于一些活动中。
可采取措施
原文链接🔗
https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/
往期推荐
原文始发于微信公众号(360漏洞研究院):行业资讯|针对Microsoft Word RCE 关键漏洞发布PoC
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论