imgboxbg

新闻中心

当前位置:
首页
/
/
网御星云关于Microsoft Word 远程代码执行漏洞的扫描和消控方案

网御星云关于Microsoft Word 远程代码执行漏洞的扫描和消控方案

  • 分类:新闻中心
  • 作者:
  • 来源:
  • 发布时间:2023-03-09 15:23
  • 访问量:

【概要描述】2023年3月7日Microsoft官方更新了一个存在于Microsoft Word中的远程代码执行漏洞(CVE-2023-21716),该漏洞源于Microsoft Word中的RTF解析器在处理包含过多字体 (*\f###*) 的字体表 (*\fonttbl *)时会触发堆损坏漏洞,攻击者可通过发送包含RTF有效负载的恶意电子邮件等方式利用该漏洞,当成功诱导用户在受影响的系统打开特制文件后,无需身份验证的攻击者可实现在目标系统上执行任意代码,且预览窗格也可作为该漏洞的攻击媒介。CVSS评分为9.8,请受影响的用户尽快采取措施进行防护。目前该漏洞POC(概念验证代码)已公开,随时存在被网络黑产利用进行挖矿木马和僵尸网络等攻击行为的风险。该漏洞的综合评级为“高危”。

网御星云关于Microsoft Word 远程代码执行漏洞的扫描和消控方案

【概要描述】2023年3月7日Microsoft官方更新了一个存在于Microsoft Word中的远程代码执行漏洞(CVE-2023-21716),该漏洞源于Microsoft Word中的RTF解析器在处理包含过多字体 (*\f###*) 的字体表 (*\fonttbl *)时会触发堆损坏漏洞,攻击者可通过发送包含RTF有效负载的恶意电子邮件等方式利用该漏洞,当成功诱导用户在受影响的系统打开特制文件后,无需身份验证的攻击者可实现在目标系统上执行任意代码,且预览窗格也可作为该漏洞的攻击媒介。CVSS评分为9.8,请受影响的用户尽快采取措施进行防护。目前该漏洞POC(概念验证代码)已公开,随时存在被网络黑产利用进行挖矿木马和僵尸网络等攻击行为的风险。该漏洞的综合评级为“高危”。

  • 分类:新闻中心
  • 作者:
  • 来源:
  • 发布时间:2023-03-09 15:23
  • 访问量:
详情

1.漏洞概述

1.1 基本描述

2023年3月7日Microsoft官方更新了一个存在于Microsoft Word中的远程代码执行漏洞(CVE-2023-21716),该漏洞源于Microsoft Word中的RTF解析器在处理包含过多字体 (*\f###*) 的字体表 (*\fonttbl *)时会触发堆损坏漏洞,攻击者可通过发送包含RTF有效负载的恶意电子邮件等方式利用该漏洞,当成功诱导用户在受影响的系统打开特制文件后,无需身份验证的攻击者可实现在目标系统上执行任意代码,且预览窗格也可作为该漏洞的攻击媒介。CVSS评分为9.8,请受影响的用户尽快采取措施进行防护。目前该漏洞POC(概念验证代码)已公开,随时存在被网络黑产利用进行挖矿木马和僵尸网络等攻击行为的风险。该漏洞的综合评级为“高危”。

1.2 漏洞影响

此漏洞影响下列所示的Microsoft产品共21款:

1. Microsoft Office 2019 for 32-bit editions

2. Microsoft Office 2019 for 64-bit editions

3. Microsoft Word 2013 Service Pack 1 (64-bit editions)

4. Microsoft Word 2013 RT Service Pack 1

5. Microsoft Word 2013 Service Pack 1 (32-bit editions)

6. Microsoft SharePoint Foundation 2013 Service Pack 1

7. Microsoft Office Web Apps Server 2013 Service Pack 1

8. Microsoft Word 2016 (32-bit edition)

9. Microsoft Word 2016 (64-bit edition)

10. Microsoft SharePoint Server 2019

11. Microsoft SharePoint Enterprise Server 2013 Service Pack 1

12. Microsoft SharePoint Enterprise Server 2016

13. Microsoft 365 Apps for Enterprise for 64-bit Systems

14. Microsoft Office 2019 for Mac

15. Microsoft Office Online Server

16. SharePoint Server Subscription Edition Language Pack

17. Microsoft 365 Apps for Enterprise for 32-bit Systems

18. Microsoft Office LTSC 2021 for 64-bit editions

19. Microsoft SharePoint Server Subscription Edition

20. Microsoft Office LTSC 2021 for 32-bit editions

21. Microsoft Office LTSC for Mac 2021

1.3 原理分析

Microsoft Word 中的 RTF 分析器在处理包含过多字体(f###)的字体表(fonttbl)时包含一个堆(heap)损坏漏洞。当其处理字体时,字体ID值( “f” 后面的数字)由以下代码处理:

Assembly language

movsx ecx,word ptr [esi] ; # 0d6cf0b6 0fbf0e

movsx edx,word ptr [esi+2] ; # load base idx 0d6cf0b9 0fbf5602

lea edx,[ecx+edx2] ; # load font idx 0d6cf0bd 8d1451

mov cx,word ptr [eax] ; # multiply by ~3 0d6cf0c0 668b08

mov word ptr [esi+edx2+4],cx ; # load the codepage value 0d6cf0c3 66894c5604

# write the code page

字体ID值由 “movsx” 指令在0xd6cf0c3加载。此指令扩展了加载的值(用 “ffff” 填充edx的上位)。发生这种情况时,位于 “0xd6cf0c3” 的内存写入指令通过将字体代码页写入esi中保存的内存的负偏移量来损坏堆(heap)。在此内存空间损坏后,将进行其他处理。使用正确构建的堆布局,攻击者会进一步导致堆损坏,从而执行任意代码。

1.4 漏洞复现

1.4.1 环境准备

操作系统版本:Windows 10

Microsoft Office Word版本:Microsoft Office 专业增强版 2016(16.0.4266.1001)

1.4.2 漏洞验证

双击打开exploit.rtf文件,可以看到底部提示正在转换。

然后word进程出现未响应,随后进程崩溃退出。

1.5 修复建议

官方已经针对漏洞发布了软件更新,以上述漏洞验证模块中所展示的Microsoft Office Word版本为例,更新方法如下:

点击 文件 -> 账户 -> 更新选项 -> 立即更新,若此页面(如下图)缺少 “更新选项” 且只有 “关于” 按钮,则该Office Word可能由批量许可证安装或公司正在采用 “组策略” 统一管理Office更新,请尝试依照Microsoft提供的手动安装方法更新或联系所在公司的betway88w彩票游戏支持部门。

2. 网御星云解决方案

2.1 建议一:基于漏洞扫描产品尽快对资产进行漏洞评估

2.1.1网御星云漏洞扫描系统V6.0产品

网御星云漏洞扫描系统V6.0产品已紧急发布针对该漏洞的升级包,支持对该漏洞进行授权扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:

6070版本升级包为607000489,升级包下载地址:

https://venustech.download.venuscloud.cn/

图1 升级后已支持该漏洞

2.1.2网御星云飞腾漏洞扫描系统6080版本

网御星云飞腾漏洞扫描系统6080版本已紧急发布针对该漏洞的升级包,支持对该漏洞进行授权扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:

6080版本升级包为系统功能包608000052-S608000045漏扫插件包下载地址:

https://venustech.download.venuscloud.cn/

图2 升级后已支持该漏洞

2.1.3漏扫基线核查

通过网御星云漏洞扫描系统-配置核查模块对该漏洞影响的 Microsoft Word 版本进行获取,使用智能化分析研判机制确认该漏洞是否存在,如果存在该漏洞可通过安全配置加固来降低被攻击风险。

请使用网御星云漏洞扫描系统V6.0产品的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。

2.2 建议二:网御星云资产与脆弱性管理平台(ASM)排查受影响资产

网御星云资产与脆弱性管理平台实时采集并更新情报信息,对入库资产漏洞Microsoft Word远程代码执行漏洞(CVE-2023-21716)进行管理,如图3所示:

图3  情报管理模块已入库的Microsoft Word远程代码执行漏洞

资产与脆弱性管理平台根据情报信息更新的漏洞受影响实体规则以及现场资产管理实例的版本信息进行自动化碰撞,可第一时间命中受该漏洞影响的资产,如图4所示:

图4  情报命中的资产信息

2.3 建议三:基于安全管理和平台进行关联分析

广大用户可以通过网御安全管理和平台,进行关联策略配置,结合实际环境中系统日志和安全设备的告警信息进行持续监控,从而发现“Microsoft Word远程代码执行”的漏洞利用攻击行为。

1)在平台中,通过脆弱性发现功能针对“Microsoft Word远程代码执行漏洞(CVE-2023-21716)”执行漏洞扫描任务,排查管理网络中受此漏洞影响的重要资产;

2)平台“关联分析”模块中,添加“L2_Microsoft_Word远程代码执行”,通过网御星云检测设备、目标主机系统等设备的告警日志,发现外部攻击行为:

通过分析规则自动将Microsoft Word远程代码执行利用的可疑行为源地址添加到观察列表“高危IP”中,作为内部情报数据使用;

3)添加“L3_Microsoft_Word远程代码执行成功”,条件日志名称等于“L2_Microsoft_Word远程代码执行”,攻击结果等于“攻击成功”,目的地址引用资产漏洞或源地址匹配威胁情报,从而提升关联规则的置信度。

2.4 建议四:ATT&CK攻击链条分析与SOAR处置建议

2.4.1 ATT&CK攻击链分析

根据对Microsoft Word远程代码执行漏洞的攻击利用过程进行分析,攻击链涉及多个ATT&CK战术和betway88w彩票游戏阶段,覆盖的TTP包括:

初始访问TA0001:

钓鱼T1566

执行TA0002:

用户执行 T1204

利用客户端执行T1203

命令和脚本执行T1059

2.4.2 处置方案建议和SOAR剧本编排

通过网御安全管理和平台内置SOAR自动化或半自动化编排联动响应处置能力,针对该漏洞利用的告警事件编排剧本,进行自动化处置。

网御星云数据实验室始终秉持以需求为导向、知识赋能产品的核心理念,专注于提供网络空间安全的基础知识研究和开发,制定结合威胁和漏洞情报、网络空间资产和监测数据等综合情报以及用户实际场景的安全分析防护策略,构建自动化调查和处置响应措施,形成场景化、结构化的知识工程体系,对各类安全产品、平台和提供知识赋能。

关键词:

扫二维码用手机看

这是描述信息

服务热线:
400-810-7766 (24H)
E-mail:

[email protected]
地址:
betway88w彩票游戏市海淀区东北旺西路8号中关村软件园21号

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

betway88w彩票游戏网御星云信息betway88w彩票游戏有限公司  

这是描述信息