您的位置:首页 >科技 >

播报:Microsoft Word远程代码执行漏洞 (CVE-2023-21716) 安全通告

2023-03-07 23:02:55    来源:互联网

Microsoft Office Word是微软公司的一个文字处理器应用程序。Word给用户提供了用于创建专业而优雅的文档工具,帮助用户节省时间,并得到优雅美观的结果。一直以来,Microsoft Office Word 都是最流行的文字处理程序。


(资料图片)

近日,奇安信CERT监测到Microsoft Word 远程代码执行漏洞(CVE-2023-21716)PoC在互联网上公开。Microsoft Word的RTF解析器(wwlib)中存在远程代码执行漏洞,未经身份认证的远程攻击者可通过发送的带有特制RTF文件的电子邮件,并诱导用户打开来利用此漏洞,成功利用此漏洞可能在目标系统上以该用户权限执行代码。该漏洞存在至少14年,使用预览窗格对文件进行预览也会触发此漏洞,Outlook预览窗格可作为此漏洞攻击媒介。目前,奇安信CERT已复现此PoC。鉴于此产品用量较大,建议客户尽快更新至最新版本。

漏洞名称

Microsoft Word 远程代码执行漏洞

公开时间

2023-02-14

更新时间

2023-03-07

CVE编号

CVE-2023-21716

其他编号

QVD-2023-4358

CNNVD-202302-1110

威胁类型

代码执行

技术类型

越界读写

厂商

Microsoft

产品

Word

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已发现

未发现

未发现

未公开

漏洞描述

Microsoft Word的RTF解析器(wwlib)中存在远程代码执行漏洞,攻击者可以制作包含过多字体表项的RTF文件,并诱导用户打开来利用此漏洞。攻击者可利用多种方式诱导用户下载并打开特制文档,如电子邮件、即时消息等等。用户使用预览窗格也会触发此漏洞。成功利用此漏洞可能在目标系统上以该用户权限执行代码。

影响版本

SharePoint Server Subscription Edition Language Pack

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft SharePoint Server Subscription Edition

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Office LTSC for Mac 2021

Microsoft Word 2013 Service Pack 1 (64-bit editions)

Microsoft Word 2013 RT Service Pack 1

Microsoft Word 2013 Service Pack 1 (32-bit editions)

Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft Office Web Apps Server 2013 Service Pack 1

Microsoft Word 2016 (32-bit edition)

Microsoft Word 2016 (64-bit edition)

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2013 Service Pack 1

Microsoft SharePoint Enterprise Server 2016

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft Office 2019 for Mac

Microsoft Office Online Server

其他受影响组件

奇安信 CERT 已成功复现Microsoft Word 远程代码执行漏洞(CVE-2023-21716),复现截图如下:

威胁评估

漏洞名称

Microsoft Word 远程代码执行漏洞

CVE编号

CVE-2023-21716

其他编号

QVD-2023-4358

CNNVD-202302-1110

CVSS 3.1评级

高危

CVSS 3.1分数

8.8

CVSS向量

访问途径(AV

攻击复杂度(AC

本地

所需权限(PR

用户交互(UI

不需要

需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

未经身份验证的远程攻击者在诱导受害者打开特制的RTF文档后,可执行任意代码。

处置建议

一、安全更新

使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。

也可以采用以下官方解决方案来防护此漏洞:

Office 手动更新

1、打开任何 Office 应用(如 Word)并创建新文档。

2、点击“文件”>“账户”。

3、在“产品信息”下,选择“更新选项”>“立即更新”。

注意: 如果不能立即看到“立即更新”选项,可能需要先单击“启用更新”。

4、Office 完成检查和安装更新后,关闭“已是最新版本!”窗口。

二、缓解方案

对于无法更新的用户,微软提供了以下缓解方案:

1、配置 Microsoft Outlook 阅读纯文本格式的电子邮件以降低用户打开来自未知或不受信任来源的 RTF 文件的风险。有关如何配置 Microsoft Outlook 以阅读所有纯文本标准邮件的指南,请参阅:https://support.microsoft.com/en-us/office/change-the-message-format-to-html-rich-text-format-or-plain-text-338a389d-11da-47fe-b693-cf41f792fefa

2、使用 Microsoft Office 文件阻止策略来防止Office 打开来自未知或不受信任来源的 RTF 文档。可能出现的问题是,已配置文件阻止策略但未配置白名单的用户将无法打开以 RTF 格式保存的文档,详情请参阅:https://learn.microsoft.com/en-us/office/troubleshoot/settings/file-blocked-in-office

警告:如果您不正确地使用注册表编辑器,可能会导致严重的问题,可能需要您重新安装操作系统。Microsoft不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

1.以管理员身份运行regedit.exe并按版本导航到以下子项:

// Office 2013

[HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\15.0\\Word\\Security\\FileBlock]

// Office 2016、Office 2019 、Office 2021

[HKEY_CURRENT_USER\\Software\\Microsoft\\Office\\16.0\\Word\\Security\\FileBlock]

2.将 RtfFiles DWORD 值设置为 2。

3.将 OpenInProtectedView DWORD 值设置为 0。

将以上子项中的RtfFiles DWORD 值设置为 0,可撤销此临时解决方案。

参考资料

[1]https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716

[2]https://support.microsoft.com/zh-cn/office/%E5%AE%89%E8%A3%85-office-%E6%9B%B4%E6%96%B0-2ab296f3-7f03-43a2-8e50-46de917611c5#ID0EBBBBF=%E8%BE%83%E6%96%B0%E7%89%88%E6%9C%AC

标签:

相关阅读