Tổng quan về CVE-2023-21716—Tham nhũng đống bảng phông chữ Microsoft Word RTF
Microsoft gần đây đã ban hành một tư vấn bảo mật mô tả CVE-2023-21716, một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng ảnh hưởng đến một số phiên bản Office, SharePoint và 365 Applications.
Lỗ hổng này được kích hoạt bởi một lỗ hổng tham nhũng đống trong trình phân tích cú pháp định dạng văn bản đa dạng thức (RTF) của Microsoft Word khi xử lý bảng phông chữ (fonttbl) chứa quá nhiều phông chữ (f # # #). Nó có thể bị kẻ tấn công khai thác bằng cách gửi email độc hại hoặc tải lên tệp có chứa tải trọng RTF và lôi kéo người dùng mở tệp.
Khi nạn nhân mở tệp độc hại, kẻ tấn công có quyền truy cập để thực thi mã tùy ý trong ứng dụng được sử dụng để mở tệp. Ngay cả khung xem trước cũng có thể được sử dụng để khởi động một cuộc tấn công. Do đó, điều này có thể dẫn đến việc cài đặt phần mềm độc hại, đánh cắp dữ liệu nhạy cảm hoặc các hoạt động độc hại khác.
Lỗ hổng đã được cho điểm CVSS là 9,8 (Nghiêm trọng) do khả năng khai thác cao và tương tác tối thiểu cần thiết từ nạn nhân.
Chúng tôi đã quét một tệp RFT có chứa mã độc bằng cách sử dụng OPSWAT MetaDefendervà chúng tôi quan sát thấy rằng chỉ có 3 trong số 21 trình quét phòng chống mã độc phát hiện ra mối đe dọa. Do đó, một tổ chức dựa trên các phương pháp phát hiện dựa trên chữ ký có thể trở nên dễ bị tấn công.
Giải pháp thay thế lỗ hổng bảo mật ảnh hưởng đến năng suất
Microsoft đã công bố các bản vá lỗi trong bản cập nhật Patch Tuesday ngày 14 tháng 2 năm 2023. Họ khuyên bạn nên cập nhật các sản phẩm bị ảnh hưởng.
Đối với người dùng không thể áp dụng bản sửa lỗi, Microsoft đề xuất một số cách giải quyết để giảm nguy cơ người dùng mở Tệp RTF từ các nguồn không xác định hoặc không đáng tin cậy. Tuy nhiên, các cách giải quyết không dễ thực hiện cũng như không hiệu quả trong việc duy trì các hoạt động kinh doanh thường xuyên.
- Microsoft khuyên bạn nên đọc email ở định dạng văn bản thuần túy, điều này khó có thể được chấp nhận do thiếu văn bản và phương tiện đa dạng thức. Mặc dù giải pháp này có thể loại bỏ mối đe dọa, nhưng nó không hỗ trợ hiển thị hình ảnh, hoạt ảnh, văn bản in đậm hoặc in nghiêng, phông chữ màu hoặc định dạng văn bản khác. Điều này dẫn đến mất mát đáng kể thông tin quan trọng trong email.
- Một giải pháp khác là kích hoạt chính sách Chặn tệp Microsoft Office, hạn chế các ứng dụng Office mở các tệp RTF có nguồn gốc không xác định hoặc không đáng tin cậy. Cần phải sửa đổi Windows Registry để thực hiện phương pháp này. Tuy nhiên, cần thận trọng, vì việc sử dụng Registry Editor không đúng cách có thể gây ra sự cố nghiêm trọng có thể yêu cầu cài đặt lại hệ điều hành. Hơn nữa, nếu một "thư mục miễn trừ" chưa được chỉ định, có khả năng người dùng sẽ không thể mở bất kỳ tài liệu RTF nào.
Giữ an toàn mà không cần giải pháp thay thế phức tạp hoặc hy sinh khả năng sử dụng
Thay vì xử lý các giải pháp phức tạp hoặc hy sinh khả năng sử dụng tệp, Deep CDR (Giải trừ nội dung và tái thiết)) đưa ra một giải pháp khắc phục.
Deep CDR công nghệ bảo vệ chống lại các mối đe dọa tiên tiến và zero-day. Nó xác định và xóa nội dung độc hại khỏi các tệp đến, chẳng hạn như tệp đính kèm email hoặc tệp tải lên, đồng thời cung cấp các tệp an toàn, có thể sử dụng được.
Bằng cách xóa tất cả các đối tượng nhúng trong các tệp RTF và tái tạo các tệp từ các thành phần bảo mật đã được xác minh, Deep CDR đảm bảo các tập tin được Làm sạch và an toàn để truy cập, không có bất kỳ mối đe dọa tiềm ẩn nào.
Deep CDR Quá trình này bao gồm các bước sau:
Công nghệ CDR có hiệu quả cao trong việc bảo vệ chống lại các mối đe dọa chưa biết và tinh vi, vì nó không dựa vào việc phát hiện và chặn các chữ ký phần mềm độc hại cụ thể.
Deep CDR cho phép quản trị viên cấu hình quy trình vệ sinh cho các tệp RFT. Để đảm bảo các tệp đầu ra không có lỗ hổng, tất cả các tệp RTF đều trải qua quá trình phân tích để xác định số lượng phông chữ trong bảng phông chữ của chúng. Nếu số lượng vượt quá giới hạn được cấu hình trước, các bảng phông chữ sẽ bị loại khỏi các tệp.
Theo mặc định, các bảng phông chữ có hơn 4096 phông chữ, viết hoa tiêu chuẩn, sẽ bị xóa. Tuy nhiên, cấu hình này có thể được tùy chỉnh để cho phép ra quyết định sáng suốt và phù hợp với trường hợp sử dụng cụ thể của bạn.
Deep CDR cung cấp chế độ xem chuyên sâu, liệt kê các đối tượng đã được Làm sạch và các hành động đã thực hiện—cho phép bạn đưa ra các lựa chọn sáng suốt để xác định các cấu hình đáp ứng trường hợp sử dụng của bạn. Dưới đây là kết quả của tệp RTF độc hại sau khi được Làm sạch bởi Deep CDR . Phông chữ nhúng đã bị xóa, giúp loại bỏ vectơ tấn công. Do đó, người dùng có thể mở tệp mà không lo bị xâm phạm.
Chúng ta có thể quan sát thấy rằng phông chữ nhúng bất thường đã bị xóa bằng cách mở cả tệp RTF độc hại ban đầu và phiên bản đã được Làm sạch.
Khám phá giải pháp bảo mật tốt nhất để ngăn chặn phần mềm độc hại zero-day và phần mềm độc hại ẩn núp nâng cao bằng cách tìm hiểu thêm về Deep CDR và Công nghệ nâng cao nhận dạng mã độc với đa ứng dụng xử lý hoặc tham khảo ý kiến chuyên gia kỹ thuật OPSWAT .
