Sårbarheden blev tildelt en 9.8 ud af 10 sværhedsgradsscore, hvor Microsoft adresserede den i februar Patch Tuesday sikkerhedsopdateringer sammen med et par løsninger.
Sværhedsgraden er hovedsageligt givet af den lave angrebskompleksitet kombineret med manglen på privilegier og brugerinteraktion, der kræves for at udnytte den.
PoC i tweet-størrelse med ondsindede .RTF dokumenter
Sikkerhedsforsker Joshua Drake opdagede sidste år sårbarheden i Microsoft Office’s “wwlib.dll” og sendte Microsoft en teknisk rådgivning, der indeholder proof-of-concept (PoC) kode, der viser, at problemet kan udnyttes.
En fjernangriber kan potentielt drage fordel af problemet til at udføre kode med de samme privilegier som offeret, der åbner en ondsindet . RTF-dokument.
At levere den ondsindede fil til et offer kan være lige så let som en vedhæftet fil til en e-mail, selvom der findes masser af andre metoder.
ADVARSEL: Selv hvis du previewer indholdet af en RTF fil kan du blive inficeret
Microsoft advarer om, at brugerne ikke behøver at åbne et ondsindet RTF-dokument, og blot at indlæse filen i eksempelruden er nok til, at kompromiset starter.
Forskeren forklarer, at RTF-parseren i Microsoft Word har en sårbarhed med stor korruption, der udløses “når man beskæftiger sig med en skrifttypetabel (* fontbl *), der indeholder et for stort antal skrifttyper (*f ####*).”
Drake siger, at der er yderligere behandling, efter at hukommelseskorruptionen opstår, og en trusselsaktør kan udnytte fejlen til vilkårlig kodeudførelse ved hjælp af “et korrekt udformet bunkelayout.”
PoC fra forskeren viser bunkekorruptionsproblemet, men stopper med at starte Calculator-appen i Windows for at demonstrere kodeudførelse.
Oprindeligt havde PoC lidt over et dusin linjer, herunder kommentarer. Siden rapporten blev sendt til Microsoft i november 2022, trimmede forskeren nogle linjer ned og formåede at passe alt i et tweet:
I øjeblikket er der ingen tegn på, at sårbarheden udnyttes i naturen, og Microsofts nuværende vurdering er, at det er “mindre sandsynligt” at der er aktive udnyttelser i øjeblikket af problemet.
Kritiske sårbarheder som denne henleder trusselsaktørernes opmærksomhed, hvor de mere avancerede forsøger at lave reverse engineer af rettelsen for at finde en måde at udnytte den på.
Typisk, når udnyttelseskoden bliver tilgængelig, begynder en større pulje af angribere at bruge sårbarheden, da der kræves mindre indsats for at ændre en PoC end at komme med en udnyttelse fra bunden.
Det er uklart, om den nuværende PoC fra Joshua Drake kan bruges som våben til en fuldblæst udnyttelse, da den kun viser, at udnyttelse er mulig uden at bevise det.
Dette er dog en fjernudførelse af kode i Microsoft Word meget eftertragtet og vil tillade omfattende distribution af malware via e-mail.
En lignende sårbarhed i Microsoft Excel Equation Editor er for længst blevet lappet og bruges stadig i dag i nogle kampagner.
Løsninger kan give bagslag
En komplet liste over de Microsoft Office-produkter, der påvirkes af sårbarheden, findes i leverandørens meddelelse om CVE-2023-21716.
For brugere, der ikke kan anvende rettelsen, anbefaler Microsoft at læse e-mails i almindeligt tekstformat, noget usandsynligt at blive vedtaget på grund af de resulterende ulemper (mangel på billeder og rigt indhold).
En anden løsning er at aktivere Microsoft Office File Block-politikken, som forhindrer Office-apps i at åbne RTF-dokumenter af ukendt eller upålidelig oprindelse.
Denne metode kræver ændring af Windows-registreringsdatabasen og kommer også med en advarsel: “Hvis du bruger Registreringseditor forkert, kan du forårsage alvorlige problemer, der kan kræve, at du geninstallerer dit operativsystem.”
Derudover, hvis der ikke er indstillet en “fritaget mappe“, risikerer brugerne ikke at kunne åbne noget RTF-dokument.
Selvom en komplet udnyttelse i øjeblikket ikke er tilgængelig og kun teoretisk, er installation af sikkerhedsopdateringen fra Microsoft stadig den sikreste måde at håndtere sårbarheden på.
Kilde: Microsoft og Joshua Drake
Fotokredt: Microsoft
