Tổng quan về CVE-2023-21716—Tham nhũng đống bảng phông chữ Microsoft Word RTF
Microsoft gần đây đã ban hành một tư vấn bảo mật mô tả CVE-2023-21716, một lỗ hổng bảo mật thực thi mã từ xa (RCE) nghiêm trọng ảnh hưởng đến một số phiên bản Office, SharePoint và 365 Applications.
lỗ hổng bảo mật này được kích hoạt bởi một lỗ hổng bảo mật tham nhũng đống trong trình phân tích cú pháp định dạng văn bản đa dạng thức (RTF) của Microsoft Word khi xử lý bảng phông chữ (fonttbl) chứa quá nhiều phông chữ (f # # #). Nó có thể bị kẻ tấn công khai thác bằng cách gửi email độc hại hoặc tải lên tệp có chứa tải trọng RTF và lôi kéo người dùng mở tệp.
Khi nạn nhân mở tệp độc hại, kẻ tấn công có quyền truy cập để thực thi mã tùy ý trong ứng dụng được sử dụng để mở tệp. Ngay cả khung xem trước cũng có thể được sử dụng để khởi động một cuộc tấn công. Do đó, điều này có thể dẫn đến việc cài đặt mã độc, đánh cắp dữ liệu nhạy cảm hoặc các hoạt động độc hại khác.
lỗ hổng bảo mật đã được cho điểm CVSS là 9,8 (Nghiêm trọng) do khả năng khai thác cao và tương tác tối thiểu cần thiết từ nạn nhân.
Chúng tôi đã quét một tệp RFT có chứa mã độc bằng cách sử dụng OPSWAT MetaDefendervà chúng tôi quan sát thấy rằng chỉ có 3 trong số 21 trình quét phòng chống mã độc phát hiện ra mối đe dọa. Do đó, một tổ chức dựa trên các phương pháp phát hiện dựa trên chữ ký có thể trở nên dễ bị tấn công.
Giải pháp thay thế lỗ hổng bảo mật bảo mật ảnh hưởng đến năng suất
Microsoft đã công bố các bản vá lỗi trong bản cập nhật Patch Tuesday ngày 14 tháng 2 năm 2023. Họ khuyên bạn nên cập nhật các sản phẩm bị ảnh hưởng.
Đối với người dùng không thể áp dụng bản sửa lỗi, Microsoft đề xuất một số cách giải quyết để giảm nguy cơ người dùng mở Tệp RTF từ các nguồn không xác định hoặc không đáng tin cậy. Tuy nhiên, các cách giải quyết không dễ thực hiện cũng như không hiệu quả trong việc duy trì các hoạt động kinh doanh thường xuyên.
- Microsoft khuyên bạn nên đọc email ở định dạng văn bản thuần túy, điều này khó có thể được chấp nhận do thiếu văn bản và phương tiện đa dạng thức. Mặc dù giải pháp này có thể loại bỏ mối đe dọa, nhưng nó không hỗ trợ hiển thị hình ảnh, hoạt ảnh, văn bản in đậm hoặc in nghiêng, phông chữ màu hoặc định dạng văn bản khác. Điều này dẫn đến mất mát đáng kể thông tin trọng yếu trong email.
- Một giải pháp khác là kích hoạt chính sách Chặn tệp Microsoft Office, hạn chế các ứng dụng Office mở các tệp RTF có nguồn gốc không xác định hoặc không đáng tin cậy. Cần phải sửa đổi Windows Registry để thực hiện phương pháp này. Tuy nhiên, cần thận trọng, vì việc sử dụng Registry Editor không đúng cách có thể gây ra sự cố nghiêm trọng có thể yêu cầu cài đặt lại hệ điều hành. Hơn nữa, nếu một "thư mục miễn trừ" chưa được chỉ định, có khả năng người dùng sẽ không thể mở bất kỳ tài liệu RTF nào.
Giữ an toàn mà không cần giải pháp thay thế phức tạp hoặc hy sinh khả năng sử dụng
Thay vì phải xử lý các giải pháp phức tạp hoặc hy sinh khả năng sử dụng tập tin, công nghệ Deep CDR™ (Giải mã và Tái cấu trúc Nội dung) cung cấp một giải pháp khắc phục.
Công nghệ Deep CDR™ bảo vệ chống lại các mối đe dọa tiên tiến và mối đe dọa zero-day. Nó xác định và loại bỏ nội dung độc hại khỏi các tệp đến, chẳng hạn như tệp đính kèm email hoặc tệp tải lên, đồng thời cung cấp các tệp an toàn và có thể sử dụng được.
Bằng cách loại bỏ tất cả các đối tượng được nhúng trong tệp RTF và tái tạo tệp từ các thành phần bảo mật đã được xác minh, Công nghệ Deep CDR™ đảm bảo các tệp được... làm sạch và đảm bảo an toàn khi truy cập, không có bất kỳ mối đe dọa tiềm tàng nào.
Quy trình công nghệ Deep CDR™ bao gồm các bước sau:
Công nghệ CDR có hiệu quả cao trong việc bảo vệ chống lại các mối đe dọa chưa biết và tinh vi, vì nó không dựa vào việc phát hiện và chặn các chữ ký mã độc cụ thể.
Công nghệ Deep CDR™ cho phép quản trị viên cấu hình quy trình làm sạch dữ liệu cho các tệp RTF. Để đảm bảo các tệp đầu ra không chứa lỗ hổng bảo mật, tất cả các tệp RTF đều được phân tích để xác định số lượng phông chữ trong bảng phông chữ của chúng. Nếu số lượng vượt quá giới hạn đã được cấu hình trước, các bảng phông chữ sẽ bị loại bỏ khỏi tệp.
Theo mặc định, các bảng phông chữ có hơn 4096 phông chữ, viết hoa tiêu chuẩn, sẽ bị xóa. Tuy nhiên, cấu hình này có thể được tùy chỉnh để cho phép ra quyết định sáng suốt và phù hợp với trường hợp sử dụng cụ thể của bạn.
Công nghệ Deep CDR™ cung cấp cái nhìn sâu sắc, liệt kê các thông tin chi tiết. làm sạch Các đối tượng và hành động đã thực hiện—cho phép bạn đưa ra lựa chọn sáng suốt để xác định cấu hình phù hợp với trường hợp sử dụng của mình. Dưới đây là kết quả của tệp RTF độc hại sau khi được xử lý. làm sạch Nhờ công nghệ Deep CDR™, phông chữ nhúng đã bị loại bỏ, giúp loại bỏ nguy cơ bị tấn công. Do đó, người dùng có thể mở tệp mà không cần lo lắng về việc bị xâm phạm.
Chúng ta có thể quan sát thấy rằng phông chữ nhúng bất thường đã bị xóa bằng cách mở cả tệp RTF độc hại ban đầu và phiên bản đã được Làm sạch.
Khám phá giải pháp bảo mật tốt nhất để ngăn chặn phần mềm độc hại zero-day và các phần mềm độc hại khó phát hiện bằng cách tìm hiểu thêm về Công nghệ Deep CDR™ và Multiscanning , hoặc bằng cách tham khảo ý kiến chuyên gia kỹ thuật OPSWAT .
