【已复现】Microsoft Word 远程代码执行漏洞安全风险通告
近日,奇安信 CERT 监测到 Microsoft Word 远程代码执行漏洞(CVE-2023-21716) PoC在互联网上公开。Microsoft Word 的RTF解析器(wwlib)中存在远程代码执行漏洞,未经身份认证的远程攻击者可通过发送的带有特制RTF文件的电子邮件,并诱导用户打开来利用此漏洞,成功利用此漏洞可能在目标系统上以该用户权限执行代码。该漏洞存在至少14年,使用预览窗格对文件进行预览也会触发此漏洞,Outlook预览窗格可作为此漏洞攻击媒介。 目前,奇安信CERT已复现此PoC。鉴于此产品用量较大,建议天守客户尽快更新至最新版本。
Microsoft Office Word是微软公司的一个文字处理器应用程序。Word给用户提供了用于创建专业而优雅的文档工具,帮助用户节省时间,并得到优雅美观的结果。一直以来,Microsoft Office Word 都是最流行的文字处理程序。
一、漏洞详情
| 漏洞名称 | Microsoft Word 远程代码执行漏洞 | ||
| 公开时间 | 2023-02-14 | 更新时间 | 2023-03-07 |
| CVE编号 | CVE-2023-21716 | 其他编号 | QVD-2023-4358 CNNVD-202302-1110 |
| 威胁类型 | 代码执行 | 技术类型 | 越界读写 |
| 厂商 | Microsoft | 产品 | Word |
| 风险等级 | |||
| 奇安信CERT风险评级 | 风险等级 | ||
| 高危 | 蓝色(一般事件) | ||
| 现时威胁状态 | |||
| POC状态 | EXP状态 | 在野利用状态 | 技术细节状态 |
| 已发现 | 未发现 | 未发现 | 未公开 |
| 漏洞描述 | Microsoft Word的RTF解析器(wwlib)中存在远程代码执行漏洞,攻击者可以制作包含过多字体表项的RTF文件,并诱导用户打开来利用此漏洞。攻击者可利用多种方式诱导用户下载并打开特制文档,如电子邮件、即时消息等等。用户使用预览窗格也会触发此漏洞。成功利用此漏洞可能在目标系统上以该用户权限执行代码。 | ||
| 影响版本 | SharePoint Server Subscription Edition Language PackMicrosoft 365 Apps for Enterprise for 32-bit SystemsMicrosoft Office LTSC 2021 for 64-bit editionsMicrosoft SharePoint Server Subscription EditionMicrosoft Office LTSC 2021 for 32-bit editionsMicrosoft Office LTSC for Mac 2021Microsoft Word 2013 Service Pack 1 (64-bit editions)Microsoft Word 2013 RT Service Pack 1Microsoft Word 2013 Service Pack 1 (32-bit editions)Microsoft SharePoint Foundation 2013 Service Pack 1Microsoft Office Web Apps Server 2013 Service Pack 1Microsoft Word 2016 (32-bit edition)Microsoft Word 2016 (64-bit edition)Microsoft SharePoint Server 2019Microsoft SharePoint Enterprise Server 2013 Service Pack 1Microsoft SharePoint Enterprise Server 2016Microsoft 365 Apps for Enterprise for 64-bit SystemsMicrosoft Office 2019 for MacMicrosoft Office Online Server | ||
| 其他受影响组件 | 无 |
奇安信 CERT 已成功复现 Microsoft Word 远程代码执行漏洞(CVE-2023-21716) ,复现截图如下:
二、威胁评估
| 漏洞名称 | Microsoft Word 远程代码执行漏洞 | ||
| CVE编号 | CVE-2023-21716 | 其他编号 | QVD-2023-4358CNNVD-202302-1110 |
| CVSS 3.1评级 | 高危 | CVSS 3.1分数 | 8.8 |
| CVSS向量 | 访问途径(AV) | 攻击复杂度(AC) | |
| 本地 | 低 | ||
| 所需权限(PR) | 用户交互(UI) | ||
| 不需要 | 需要 | ||
| 影响范围(S) | 机密性影响(C) | ||
| 不改变 | 高 | ||
| 完整性影响(I) | 可用性影响(A) | ||
| 高 | 高 | ||
| 危害描述 | 未经身份验证的远程攻击者在诱导受害者打开特制的RTF文档后,可执行任意代码。 |
三、处置建议
1、安全更新
使用 奇安信天守 & 奇安信天擎的客户可以通过控制台一键更新修补相关漏洞,也可以通过奇安信天守&天擎客户端一键更新修补相关漏洞。
也可以采用以下官方解决方案, Office 手动更新 来防护此漏洞:
- 打开任何 Office 应用(如 Word)并创建新文档。
- 点击“文件”>“账户”。
- 在“产品信息”下,选择“更新选项”>“立即更新”。注意: 如果不能立即看到“立即更新”选项,可能需要先单击“启用更新”。
- Office 完成检查和安装更新后,关闭“已是最新版本!”窗口。
2、缓解方案
对于无法更新的用户,微软提供了以下缓解方案:配置 Microsoft Outlook 阅读纯文本格式的电子邮件以降低用户打开来自未知或不受信任来源的 RTF 文件的风险。有关如何配置 Microsoft Outlook 以阅读所有纯文本标准邮件的指南,请参阅: https:// support.microsoft.com/e n-us/office/change-the-message-format-to-html-rich-text-format-or-plain-text-338a389d-11da-47fe-b693-cf41f792fefa
使用 Microsoft Office 文件阻止策略来防止Office 打开来自未知或不受信任来源的 RTF 文档。可能出现的问题是,已配置文件阻止策略但未配置白名单的用户将无法打开以 RTF 格式保存的文档,详情请参阅: https:// learn.microsoft.com/en- us/office/troubleshoot/settings/file-blocked-in-office
警告: 如果您不正确地使用注册表编辑器,可能会导致严重的问题,可能需要您重新安装操作系统
Microsoft不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。
a.以管理员身份运行regedit.exe并按版本导航到以下子项:
// Office 2013
[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock]
// Office 2016、Office 2019 、Office 2021
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]
b.将 RtfFiles DWORD 值设置为 2。3.将 OpenInProtectedView DWORD 值设置为 0。将以上子项中的RtfFiles DWORD 值设置为 0,可撤销此临时解决方案。