一、漏洞概述
CVE ID | CVE-2023-21716 | 發現時間 | 2023-02-15 |
類 型 | RCE | 等 級 | 嚴重 |
遠端利用 | 是 | 所需許可權 | 無 |
攻擊複雜度 | 低 | 使用者互動 | 無 |
PoC/EXP | 已公開 | 在野利用 | 否 |
近日,啟明星辰VSRC監測到Microsoft Word遠端程式碼執行漏洞(CVE-2023-21716)的PoC在網際網路上公開,該漏洞已在微軟2023年2月補丁中修復,其CVSSv3評分為9.8。
Microsoft Word 中的 RTF 解析器在處理包含過多字型 (*\f###*) 的字型表 (*\fonttbl *)時存在堆損壞漏洞,未經身份驗證的威脅者可以發送包含 RTF Payload的惡意電子郵件(或其它方式),以打開惡意 RTF 文件的受害者的許可權執行任意程式碼。
注意,預覽窗格是該漏洞的攻擊媒介之一,即使用者不必打開惡意 RTF 文件,只需在預覽窗格中載入檔案便可觸發執行。
二、影響範圍
Microsoft Office 2019 for 32-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Word 2013 Service Pack 1 (64-bit editions)
Microsoft Word 2013 RT Service Pack 1
Microsoft Word 2013 Service Pack 1 (32-bit editions)
Microsoft SharePoint Foundation 2013 Service Pack 1
Microsoft Office Web Apps Server 2013 Service Pack 1
Microsoft Word 2016 (32-bit edition)
Microsoft Word 2016 (64-bit edition)
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2013 Service Pack 1
Microsoft SharePoint Enterprise Server 2016
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Office 2019 for Mac
Microsoft Office Online Server
SharePoint Server Subscription Edition Language Pack
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft SharePoint Server Subscription Edition
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC for Mac 2021
三、安全措施3.1 升級版本
目前該漏洞已在微軟2023年2月補丁中修復,受影響使用者可儘快安裝更新。
下載連結:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716
3.2 臨時措施
l使用 Microsoft Outlook 降低使用者打開來自未知或不受信任來源的 RTF 檔案的風險。如閱讀純文字格式的電子郵件(以純文字格式查看的電子郵件將不包含圖片、專用字型、動畫或其他豐富的內容,或將遇到其它問題),有關如何配置 Microsoft Outlook 以閱讀所有純文字標準郵件的指南,請參考微軟官方公共中的相關連結。
l使用 Microsoft Office 檔案阻止策略來防止 Office 打開來自未知或不受信任來源的 RTF 文件。注意,該方法需要修改註冊表編輯器,不正確修改可能會導致嚴重問題,可能需要重裝系統。此外,已配置檔案阻止策略但未配置特殊「豁免目錄」的使用者將無法打開以 RTF 格式保存的文件,可參考:https://learn.microsoft.com/en-us/office/troubleshoot/settings/file-blocked-in-office
A.對於 Office 2013
1.以管理員身份運行 regedit.exe 並導航到以下子項:
`[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock]`
2.將 RtfFiles DWORD 值設置為 2。
3.將 OpenInProtectedView DWORD 值設置為 0。
對於 Office 2013,撤銷上述操作:
1.以管理員身份運行 regedit.exe 並導航到以下子項:
`[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock]`
2.將 RtfFiles DWORD 值設置為 0。
3.將 OpenInProtectedView DWORD 值設置為 0。
B.對於 Office 2016
1.以管理員身份運行 regedit.exe 並導航到以下子項:
`[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]`
2.將RtfFiles DWORD 值設置為2。
3.將 OpenInProtectedView DWORD 值設置為0。
對於 Office 2016,撤銷上述操作:
1.以管理員身份運行 regedit.exe 並導航到以下子項:
`[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]`
2.將RtfFiles DWORD 值設置為0。
3.將 OpenInProtectedView DWORD 值設置為0。
C、對於 Office 2019
1.以管理員身份運行 regedit.exe 並導航到以下子項:
`[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]`
2.將RtfFiles DWORD 值設置為2。
3.將 OpenInProtectedView DWORD 值設置為0。
對於 Office 2019,撤銷上述操作:
1.以管理員身份運行 regedit.exe 並導航到以下子項:
`[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]`
2.將RtfFiles DWORD 值設置為0。
3.將 OpenInProtectedView DWORD 值設置為0。
D、對於 Office 2021
以管理員身份運行 regedit.exe 並導航到以下子項:
`[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]`
2.將RtfFiles DWORD 值設置為2。
3.將 OpenInProtectedView DWORD 值設置為0。
對於 Office 2021,撤銷上述操作:
1.以管理員身份運行 regedit.exe 並導航到以下子項:
`[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]`
2.將RtfFiles DWORD 值設置為0。
3.將 OpenInProtectedView DWORD 值設置為0。
3.3 通用建議
定期更新系統補丁,減少系統漏洞,提升伺服器的安全性。
加強系統和網路的訪問控制,修改防火牆策略,關閉非必要的應用埠或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網路安全性能。
加強系統使用者和許可權管理,啟用多因素認證機制和最小許可權原則,使用者和軟體許可權應保持在最低限度。
啟用強密碼策略並設置為定期修改。
3.4 參考連結
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716
https://qoop.org/publications/cve-2023-21716-rtf-fonttbl.md
https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/
https://twitter.com/jduck
