首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Microsoft Word遠程代碼執行漏洞(CVE-2023-21716)

發布時間 2023-03-07

 

一、漏洞概述

CVE   ID

CVE-2023-21716

發現時間

2023-02-15

類    型

RCE

等    級

嚴重

遠程利用

所需權限

攻擊復雜度

用戶交互

PoC/EXP

已公開

在野利用

 

近日,啟明星辰VSRC監測到Microsoft Word遠程代碼執行漏洞(CVE-2023-21716)的PoC在互聯網上公開,該漏洞已在微軟2023年2月補丁中修復,其CVSSv3評分為9.8。

Microsoft Word 中的 RTF 解析器在處理包含過多字體 (*\f###*) 的字體表 (*\fonttbl *)時存在堆損壞漏洞,未經身份驗證的威脅者可以發送包含 RTF Payload的惡意電子郵件(或其它方式),以打開惡意 RTF 文檔的受害者的權限執行任意代碼。

注意,預覽窗格是該漏洞的攻擊媒介之一,即用戶不必打開惡意 RTF 文檔,只需在預覽窗格中加載文件便可觸發執行。

  

二、影響范圍

Microsoft Office 2019 for 32-bit editions

Microsoft Office 2019 for 64-bit editions

Microsoft Word 2013 Service Pack 1 (64-bit editions)

Microsoft Word 2013 RT Service Pack 1

Microsoft Word 2013 Service Pack 1 (32-bit editions)

Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft Office Web Apps Server 2013 Service Pack 1

Microsoft Word 2016 (32-bit edition)

Microsoft Word 2016 (64-bit edition)

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2013 Service Pack 1

Microsoft SharePoint Enterprise Server 2016

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft Office 2019 for Mac

Microsoft Office Online Server

SharePoint Server Subscription Edition Language Pack

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft SharePoint Server Subscription Edition

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Office LTSC for Mac 2021


三、安全措施

3.1 升級版本

目前該漏洞已在微軟2023年2月補丁中修復,受影響用戶可盡快安裝更新。

下載鏈接:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716

3.2 臨時措施

l  使用 Microsoft Outlook 降低用戶打開來自未知或不受信任來源的 RTF 文件的風險。如閱讀純文本格式的電子郵件(以純文本格式查看的電子郵件將不包含圖片、專用字體、動畫或其他豐富的內容,或將遇到其它問題),有關如何配置 Microsoft Outlook 以閱讀所有純文本標準郵件的指南,請參考微軟官方公共中的相關鏈接。

l  使用 Microsoft Office 文件阻止策略來防止 Office 打開來自未知或不受信任來源的 RTF 文檔。注意,該方法需要修改注冊表編輯器,不正確修改可能會導致嚴重問題,可能需要重裝系統。此外,已配置文件阻止策略但未配置特殊“豁免目錄”的用戶將無法打開以 RTF 格式保存的文檔,可參考:https://learn.microsoft.com/en-us/office/troubleshoot/settings/file-blocked-in-office

A.對于 Office 2013

1.以管理員身份運行 regedit.exe 并導航到以下子項:

 `[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock]`

2.將 RtfFiles DWORD 值設置為 2。

3.將 OpenInProtectedView DWORD 值設置為 0。

對于 Office 2013,撤銷上述操作:

1.以管理員身份運行 regedit.exe 并導航到以下子項:              

 `[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock]`

2.將 RtfFiles DWORD 值設置為 0。

3.將 OpenInProtectedView DWORD 值設置為 0。

 

B.對于 Office 2016

1.以管理員身份運行 regedit.exe 并導航到以下子項:    

`[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]`

2.將RtfFiles DWORD 值設置為2。

3.將 OpenInProtectedView DWORD 值設置為0。

對于 Office 2016,撤銷上述操作:

1.以管理員身份運行 regedit.exe 并導航到以下子項:

`[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]`

2.將RtfFiles DWORD 值設置為0。

3.將 OpenInProtectedView DWORD 值設置為0。

 

C、對于 Office 2019

1.以管理員身份運行 regedit.exe 并導航到以下子項:

`[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]`

2.將RtfFiles DWORD 值設置為2。

3.將 OpenInProtectedView DWORD 值設置為0。

對于 Office 2019,撤銷上述操作:

1.以管理員身份運行 regedit.exe 并導航到以下子項:

`[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]`

2.將RtfFiles DWORD 值設置為0。

3.將 OpenInProtectedView DWORD 值設置為0。

 

D、對于 Office 2021

1.以管理員身份運行 regedit.exe 并導航到以下子項:

`[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]`

2.將RtfFiles DWORD 值設置為2。

3.將 OpenInProtectedView DWORD 值設置為0。

對于 Office 2021,撤銷上述操作:

1.以管理員身份運行 regedit.exe 并導航到以下子項:

`[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]`

2.將RtfFiles DWORD 值設置為0。

3.將 OpenInProtectedView DWORD 值設置為0。

3.3 通用建議

l  定期更新系統補丁,減少系統漏洞,提升服務器的安全性。

l  加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。

l  使用企業級安全產品,提升企業的網絡安全性能。

l  加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。

l  啟用強密碼策略并設置為定期修改。

3.4 參考鏈接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716

https://qoop.org/publications/cve-2023-21716-rtf-fonttbl.md

https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/

https://twitter.com/jduck

  

四、版本信息

版本

日期

備注

V1.0

2023-03-07

首次發布

 

五、附錄

5.1 公司簡介

啟明星辰成立于1996年,是由留美博士嚴望佳女士創建的、擁有完全自主知識產權的信息安全高科技企業。是國內最具實力的信息安全產品、安全服務解決方案的領航企業之一。

公司總部位于北京市中關村軟件園啟明星辰大廈,公司員工6000余人,研發團隊1200余人, 技術服務團隊1300余人。在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系。公司于2010年6月23日在深圳中小板掛牌上市。(股票代碼:002439)

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

5.2 關于我們

啟明星辰安全應急響應中心已發布1000多個漏洞通告和風險預警,我們將持續跟蹤全球最新的網絡安全事件和漏洞,為企業的信息安全保駕護航。

關注我們:

image.png

上一篇 下一篇