Houve uma prova de conceito publicada recentemente para CVE-2023-21716 que analisa esta vulnerabilidade. Esta vulnerabilidade foi marcada como “Crítica” e foi detectada no Microsoft Word, que permite a execução remota de código (RCE).
O último lançamento do Patch Tuesday da Microsoft em fevereiro corrigiu a vulnerabilidade, evitando que ela fosse explorada. Em ‘wwlib.dll’ do Microsoft Office, essa falha RCE foi descoberta inicialmente por um analista de segurança, Joshua Drake, no ano passado.
O pesquisador notificou a Microsoft imediatamente sobre sua descoberta após enviar um comunicado técnico contendo um PoC demonstrando que a vulnerabilidade pode ser explorada.
A vulnerabilidade poderia ser potencialmente explorada por um invasor remoto para executar código em um sistema comprometido.
Detalhes da vulnerabilidade
- ID CVE: CVE-2023-21716
- Pontuação CVSS: 9.8
- Gravidade: Crítica
- Falha: Execução Remota de Código (RCE)
Um invasor remoto poderia aproveitar o problema para executar código. Como resultado, o invasor tem as mesmas permissões que a vítima, que abriu o arquivo malicioso [.RTF] arquivo com os mesmos privilégios.
Um arquivo malicioso pode ser entregue a uma vítima anexando-o a um e-mail, o que talvez seja a maneira mais fácil de entregá-lo, mas existem muitos outros métodos disponíveis.
Na tentativa de evitar que os usuários sejam vítimas desse tipo de ataque, a Microsoft alerta que eles não precisam abrir o documento RTF malicioso. O invasor pode começar a explorar o sistema simplesmente carregando uma versão dele no Painel de Visualização.
De acordo com as descobertas do pesquisador, o analisador RTF incorporado no Microsoft Word possui uma vulnerabilidade à corrupção de heap.
Esta vulnerabilidade é ativada quando o software está manipulando uma tabela de fontes indicada por “\fonttbl” que consiste em um número considerável de fontes marcadas por “\f###”.
Um invasor pode usar um layout de heap criado corretamente para explorar o bug para execução arbitrária de código após ocorrer corrupção de memória. Para demonstrar a execução do código, o PoC não inicia o aplicativo Calculadora em Windows para ilustrar a corrupção de heap.
A vulnerabilidade não parece estar sendo explorada no momento. No momento, a Microsoft acredita que é improvável que ocorra exploração do problema.
Gambiarra
Há uma correção fornecida pela Microsoft para usuários que não conseguem aplicá-la. Como a Microsoft recomenda aos usuários que leiam e-mails em formato de texto simples. No entanto, é pouco provável que esta correção seja adotada, uma vez que não haverá melhorias ou melhorias na experiência do usuário.
Há também uma solução alternativa que pode ser usada para garantir que documentos RTF não sejam abertos quando provenientes de fontes não confiáveis ou desconhecidas, habilitando a política de bloqueio de arquivos do Microsoft Office.
Além de exigir a modificação do Windows Registro, esse método também apresenta alguns riscos. No entanto, não há dúvida de que a melhor maneira de resolver esta vulnerabilidade é instalar um Atualização de segurança da Microsoft.
