Vue d'ensemble de CVE-2023-21716-Microsoft Word RTF Font Table Heap Corruption (en anglais)
Microsoft a récemment publié un avis de sécurité décrivant CVE-2023-21716, une vulnérabilité critique d'exécution de code à distance (RCE) affectant plusieurs versions d'Office, SharePoint et 365 Applications.
Cette vulnérabilité est déclenchée par une corruption de tas dans l'analyseur RTF (Rich Text Format) de Microsoft Word lors du traitement d'une table de polices (fonttbl) contenant un nombre excessif de polices (f###). Elle peut être exploitée par un attaquant en envoyant un courriel malveillant ou en téléchargeant un fichier contenant une charge utile RTF et en incitant l'utilisateur à ouvrir le fichier.
Lorsque la victime ouvre le fichier malveillant, l'attaquant a accès à l'exécution d'un code arbitraire dans l'application utilisée pour ouvrir le fichier. Même le volet de prévisualisation peut être utilisé pour lancer une attaque. Cela peut conduire à l'installation de logiciels malveillants, au vol de données sensibles ou à d'autres activités malveillantes.
La vulnérabilité a reçu un score CVSS de 9.8 (critique) en raison de sa grande exploitabilité et de l'interaction minimale requise de la part de la victime.
Nous avons analysé un fichier RFT contenant un code malveillant à l'aide de la fonction OPSWAT MetaDefenderet nous avons observé que seuls 3 moteurs antimalware sur 21 ont détecté la menace. Par conséquent, une organisation qui s'appuie sur des méthodes de détection basées sur les signatures peut potentiellement devenir vulnérable aux attaques.
Les solutions de contournement des vulnérabilités affectent la productivité
Microsoft a publié des correctifs dans la mise à jour Patch Tuesday du 14 février 2023. Il est recommandé de mettre à jour les produits concernés.
Pour les utilisateurs qui ne peuvent pas appliquer le correctif, Microsoft propose plusieurs solutions de contournement afin de réduire le risque que les utilisateurs ouvrent des fichiers RTF provenant de sources inconnues ou non fiables. Toutefois, ces solutions ne sont ni faciles à mettre en œuvre, ni efficaces pour maintenir les activités normales de l'entreprise.
- Microsoft propose de lire les courriels au format texte brut, ce qui a peu de chances d'être adopté en raison de l'absence de texte enrichi et de médias. Bien que cette solution puisse éliminer la menace, elle ne permet pas d'afficher des images, des animations, du texte en gras ou en italique, des polices de couleur ou d'autres formats de texte. Il en résulte une perte substantielle d'informations cruciales dans le courrier électronique.
- Une autre solution consiste à activer la stratégie Microsoft Office File Block, qui empêche les applications Office d'ouvrir des fichiers RTF dont l'origine est inconnue ou non fiable. Il est nécessaire de modifier le registre Windows pour mettre en œuvre cette méthode. Toutefois, il convient d'être prudent, car une mauvaise utilisation de l'éditeur du registre peut entraîner des problèmes importants pouvant nécessiter la réinstallation du système d'exploitation. En outre, si un "répertoire exempt" n'a pas été désigné, il est possible que les utilisateurs ne puissent pas ouvrir de documents RTF.
Rester sécurisé sans passer par des solutions de contournement compliquées ni sacrifier la convivialité
Au lieu de gérer des solutions complexes ou de sacrifier la facilité d'utilisation des fichiers, Deep CDR (Content Disarm and Reconstruction)) offre une solution.
Deep CDR protège contre les menaces avancées et les menaces de type "zero-day". Elle identifie et supprime le contenu malveillant des fichiers entrants, tels que les pièces jointes aux courriels ou les téléchargements de fichiers, tout en fournissant des fichiers sûrs et utilisables.
En supprimant tous les objets intégrés dans les fichiers RTF et en reconstruisant les fichiers à partir de composants sécurisés vérifiés, Deep CDR garantit que les fichiers sont assainis et sécurisés pour l'accès, dépourvus de toute menace potentielle.
Deep CDR comporte les étapes suivantes :
La technologie CDR est très efficace pour protéger contre les menaces inconnues et sophistiquées, car elle ne repose pas sur la détection et le blocage de signatures de logiciels malveillants spécifiques.
Deep CDR permet aux administrateurs de configurer le processus d'assainissement des fichiers RFT. Pour s'assurer que les fichiers de sortie sont exempts de vulnérabilités, tous les fichiers RTF sont analysés afin de déterminer le nombre de polices dans leurs tables de polices. Si le nombre dépasse une limite préconfigurée, les tables de polices sont éliminées des fichiers.
Par défaut, les tables de polices contenant plus de 4096 polices, un plafond standard, sont supprimées. Toutefois, cette configuration peut être personnalisée pour permettre une prise de décision éclairée et s'aligner sur votre cas d'utilisation spécifique.
Deep CDR fournit des vues approfondies, énumérant les objets assainis et les actions entreprises, ce qui vous permet de faire des choix éclairés pour définir des configurations qui répondent à votre cas d'utilisation. Voici le résultat du fichier RTF malveillant après avoir été assaini par Deep CDR. La police intégrée a été supprimée, ce qui a éliminé le vecteur d'attaque. Les utilisateurs peuvent donc ouvrir le fichier sans craindre d'être compromis.
Nous pouvons observer que la police intégrée anormale a été supprimée en ouvrant à la fois le fichier RTF malveillant d'origine et la version assainie.
Découvrez la meilleure solution de sécurité pour prévenir les logiciels malveillants de type "zero-day" et les logiciels malveillants évasifs avancés. Deep CDR et Multiscanningou en consultant un expert technique à l'adresse OPSWAT .
