3月7日,Microsoft官方更新了一个存在于Microsoft Word中的远程代码执行漏洞(CVE-2023-21716)。由于Microsoft Word中的RTF解析器在处理包含过多字体(*\f###*)的字体表(*\fonttbl *)时会触发堆损坏漏洞,攻击者可通过发送包含RTF有效负载的恶意电子邮件等方式利用该漏洞,当成功诱导用户在受影响的系统打开特制文件后,无需身份验证的攻击者可实现在目标系统上执行任意代码,且预览窗格也可作为该漏洞的攻击媒介。启明星辰北冥数据实验室第一时间对Microsoft官方发布的安全公告进行分析研判,结合泰合盘古平台(THPangu-OS)的底座能力,为广大用户提供应急处置指引方案。
目前该漏洞POC(概念验证代码)已公开,随时存在被网络黑产利用进行挖矿木马和僵尸网络等攻击行为的风险。该漏洞的综合评级为“高危”。
原理分析
Microsoft Word 中的 RTF 分析器在处理包含过多字体(f###)的字体表(fonttbl)时包含一个堆(heap)损坏漏洞。当其处理字体时,字体ID值(“f”后面的数字)由以下代码处理:
Assembly language
movsx ecx,word ptr [esi];# 0d6cf0b6 0fbf0e
movsx edx,word ptr [esi+2];# load base idx 0d6cf0b9 0fbf5602
lea edx,[ecx+edx2];# load font idx 0d6cf0bd 8d1451
mov cx,word ptr [eax];# multiply by ~3 0d6cf0c0 668b08
mov word ptr [esi+edx2+4],cx ;# load the codepage value 0d6cf0c3 66894c5604
# write the code page
字体ID值由“movsx”指令在0xd6cf0c3加载。此指令扩展了加载的值(用“ffff”填充edx的上位)。发生这种情况时,位于“0xd6cf0c3”的内存写入指令通过将字体代码页写入esi中保存的内存的负偏移量来损坏堆(heap)。在此内存空间损坏后,将进行其他处理。使用正确构建的堆布局,攻击者会进一步导致堆损坏,从而执行任意代码。
漏洞复现
1、环境准备
操作系统版本:Windows 10
Microsoft Office Word版本:Microsoft Office 专业增强版 2016(16.0.4266.1001)
2、漏洞验证
双击打开exploit.rtf文件,可以看到底部提示正在转换。
然后word进程出现未响应,随后进程崩溃退出。
修复建议
官方已经针对漏洞发布了软件更新,以上述漏洞验证模块中所展示的Microsoft Office Word版本为例,更新方法如下:
点击文件-账户-更新选项-立即更新,若此页面(如下图)缺少“更新选项”且只有“关于”按钮,则该Office Word可能由批量许可证安装或公司正在采用“组策略”统一管理Office更新,请尝试依照Microsoft提供的手动安装方法更新或联系所在公司的技术支持部门。
启明星辰解决方案
建议一:启明星辰天镜脆弱性扫描与管理系统升级最新版本
1、漏扫6070版本
启明星辰天镜脆弱性扫描与管理系统已紧急发布针对该漏洞的升级包,支持对该漏洞进行授权扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:
6070版本升级包为607000489
升级包下载地址:
https://venustech.download.venuscloud.cn/
升级后已支持该漏洞
2、漏扫6080版本
启明星辰天镜脆弱性扫描与管理系统已紧急发布针对该漏洞的升级包,支持对该漏洞进行授权扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:
6080版本升级包为系统功能包608000052-S608000045
漏扫插件包下载地址:
https://venustech.download.venuscloud.cn/
升级后已支持该漏洞
3、漏扫基线核查
通过启明星辰天镜脆弱性扫描与管理系统-配置核查模块对该漏洞影响的 Microsoft Word 版本进行获取,使用智能化分析研判机制确认该漏洞是否存在,如果存在该漏洞可通过安全配置加固来降低被攻击风险。
请使用启明星辰天镜脆弱性扫描与管理系统产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。
建议二:启明星辰资产与脆弱性管理平台(ASM)排查受影响资产
启明星辰资产与脆弱性管理平台实时采集并更新情报信息,对入库资产漏洞Microsoft Word远程代码执行漏洞(CVE-2023-21716)进行管理,如图所示:
情报管理模块已入库的Microsoft Word远程代码执行漏洞
资产与脆弱性管理平台根据情报信息更新的漏洞受影响实体规则以及现场资产管理实例的版本信息进行自动化碰撞,可第一时间命中受该漏洞影响的资产,如图所示:
情报命中的资产信息
建议三:基于安全管理和态势感知平台进行关联分析
广大用户可以通过泰合安全管理和态势感知平台,进行关联策略配置,结合实际环境中系统日志和安全设备的告警信息进行持续监控,从而发现“Microsoft Word远程代码执行”的漏洞利用攻击行为。
1)在泰合的平台中,通过脆弱性发现功能针对“Microsoft Word远程代码执行漏洞(CVE-2023-21716)”执行漏洞扫描任务,排查管理网络中受此漏洞影响的重要资产;
2)平台“关联分析”模块中,添加“L2_Microsoft_Word远程代码执行”,通过启明星辰检测设备、目标主机系统等设备的告警日志,发现外部攻击行为:
通过分析规则自动将Microsoft Word远程代码执行利用的可疑行为源地址添加到观察列表“高危IP”中,作为内部情报数据使用;
3)添加“L3_Microsoft_Word远程代码执行成功”,条件日志名称等于“L2_Microsoft_Word远程代码执行”,攻击结果等于“攻击成功”,目的地址引用资产漏洞或源地址匹配威胁情报,从而提升关联规则的置信度。
建议四:ATT CK攻击链条分析与SOAR处置建议
1、ATT CK攻击链分析
根据对Microsoft Word远程代码执行漏洞的攻击利用过程进行分析,攻击链涉及多个ATT CK战术和技术阶段,覆盖的TTP包括:
初始访问TA0001:
钓鱼T1566
执行TA0002:
用户执行 T1204
利用客户端执行T1203
命令和脚本执行T1059
2、处置方案建议和SOAR剧本编排
通过泰合安全管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力,针对该漏洞利用的告警事件编排剧本,进行自动化处置。
小贴士:
此漏洞影响下列所示的Microsoft产品共21款:
1. Microsoft Office 2019 for 32-bit editions
2. Microsoft Office 2019 for 64-bit editions
3. Microsoft Word 2013 Service Pack 1 (64-bit editions)
4. Microsoft Word 2013 RT Service Pack 1
5. Microsoft Word 2013 Service Pack 1 (32-bit editions)
6. Microsoft SharePoint Foundation 2013 Service Pack 1
7. Microsoft Office Web Apps Server 2013 Service Pack 1
8. Microsoft Word 2016 (32-bit edition)
9. Microsoft Word 2016 (64-bit edition)
10. Microsoft SharePoint Server 2019
11. Microsoft SharePoint Enterprise Server 2013 Service Pack 1
12. Microsoft SharePoint Enterprise Server 2016
13. Microsoft 365 Apps for Enterprise for 64-bit Systems
14. Microsoft Office 2019 for Mac
15. Microsoft Office Online Server
16. SharePoint Server Subscription Edition Language Pack
17. Microsoft 365 Apps for Enterprise for 32-bit Systems
18. Microsoft Office LTSC 2021 for 64-bit editions
19. Microsoft SharePoint Server Subscription Edition
20. Microsoft Office LTSC 2021 for 32-bit editions
21. Microsoft Office LTSC for Mac 2021
关于北冥数据实验室
北冥数据实验室始终秉持以需求为导向、知识赋能产品的核心理念,专注于提供网络空间安全的基础知识研究和开发,制定结合威胁和漏洞情报、网络空间资产和云安全监测数据等综合情报以及用户实际场景的安全分析防护策略,构建自动化调查和处置响应措施,形成场景化、结构化的知识工程体系,对各类安全产品、平台和安全运营提供知识赋能。