【已复现】Microsoft WordPad 信息泄露漏洞(CVE-2023-36563)安全风险通告

admin 2024年2月15日20:28:52评论21 views字数 3175阅读10分35秒阅读模式

● 点击↑蓝字关注我们,获取更多安全风险通告

漏洞概述

漏洞名称

Microsoft WordPad 信息泄露漏洞

漏洞编号

QVD-2023-24196、CVE-2023-36563

公开时间

2023-10-10

影响对象数量级

亿级

奇安信评级

中危

CVSS 3.1分数

6.5

威胁类型

信息泄露

利用可能性

POC状态

已公开

在野利用状态

已发现

EXP状态

未公开

技术细节状态

已公开

利用条件:需要用户交互。

(注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。)

01
漏洞详情
>>>>

影响组件

写字板(WordPad)是简单的文字处理器。自从Windows 95开始,Microsoft Windows大部分的版本都内建了这个软体。它的功能比记事本强,但比Microsoft Word弱。WordPad 的功能发源自于Windows 1.0x时期的小作家。

>>>>

漏洞描述

近日,奇安信CERT监测到 Microsoft WordPad 信息泄露漏洞(CVE-2023-36563),wordpad在解析rtf文件包含的ole对象时会尝试访问Linked object的Topic指向的文件,如果Topic是一个UNC路径则会尝试通过网络访问,并尝试使用NTLM认证,导致泄露NTLM hash。

鉴于该漏洞影响范围较大,并且已经监测到在野利用,建议客户尽快做好自查及防护。

02
影响范围
>>>>

影响版本

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

>>>>

其他受影响组件

03
复现情况

目前,奇安信CERT已成功复现Microsoft WordPad 信息泄露漏洞(CVE-2023-36563),截图如下:

【已复现】Microsoft WordPad 信息泄露漏洞(CVE-2023-36563)安全风险通告

04
处置建议
>>>>

安全更新

下载对应目标系统的补丁并安装:

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-36563

>>>>

缓解措施

设置注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftOleAppCompat

OLELinkConversionFromOLESTREAMToIStorage,在该项内新建DWORD值Disabled为0x00000001,该项会禁止链接对象的转换,如果已知应用程序不受该漏洞影响,则可以新建REG_MULTI_SZ类型的ExclusionList,并将应用程序名称填入,如Outlook.exe、Winword.exe。

>>>>

产品解决方案

奇安信天擎终端安全管理系统解决方案

奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:2023.10.11.1及以上版本,对内网终端进行补丁更新。

推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至2023.10.11.1版本。

控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。

纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。

05
参考资料

[1]https://securityonline.info/poc-released-for-microsoft-wordpad-cve-2023-36563-flaw-exploited-in-attacks/

[2]https://www.cert.ssi.gouv.fr/actualite/CERTFR-2023-ACT-045/

[3]https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0827/

[4]https://securityonline.info/five-security-vulnerabilities-added-to-cisas-kev-catalog/

[5]https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[6]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36563

06
时间线

2023年10月11日,微软补丁日修复Microsoft wordpad 信息泄露漏洞,同时该漏洞已被在野利用。

2023年11月1日,奇安信 CERT监测到此漏洞技术细节在互联网上公开,复现该漏洞,发布安全风险通告。

07

原文始发于微信公众号(奇安信 CERT):【已复现】Microsoft WordPad 信息泄露漏洞(CVE-2023-36563)安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月15日20:28:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【已复现】Microsoft WordPad 信息泄露漏洞(CVE-2023-36563)安全风险通告https://cn-sec.com/archives/2181629.html

发表评论

匿名网友 填写信息