登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202305/1844466_30003_0.htm

Microsoft Word 远程代码执行漏洞通告(CVE-2023-21716)

【发布时间:2023-05-11】

威胁预警团队

2023/03/07


1. 漏洞综述

1.1 漏洞背景

Microsoft Office Word是微软公司的一个文字处理器应用程序。Word给用户提供了创建、编辑和保存专业文档等功能,例如信函和报告。近日,新华三攻防实验室威胁预警团队监测到微软2月通告中的Microsoft Office Word远程代码执行漏洞(CVE-2023-21716)利用代码已公开,攻击者利用该漏洞可在目标系统上执行任意代码。

1.2 漏洞详情

该漏洞是由于Microsoft Word的RTF解析器(wwlib)中存在远程代码执行漏洞,未经身份验证的恶意攻击者可以通过发送带有特制RTF文件的电子邮件,诱导用户下载并打开特制文档,成功利用此漏洞可在目标系统上以受害者用户权限执行任意代码。(使用预览窗格对文件预览也会触发此漏洞)。

1.3 漏洞复现

通过点击打开恶意.RTF文档,执行任意代码

2. 影响范围

· SharePoint Server Subscription Edition Language Pack

· Microsoft 365 Apps for Enterprise for 32-bit Systems

· Microsoft Office LTSC 2021 for 64-bit editions

· Microsoft SharePoint Server Subscription Edition

· Microsoft Office LTSC 2021 for 32-bit editions

· Microsoft Office LTSC for Mac 2021

· Microsoft Word 2013 Service Pack 1 (64-bit editions)

· Microsoft Word 2013 RT Service Pack 1

· Microsoft Word 2013 Service Pack 1 (32-bit editions)

· Microsoft SharePoint Foundation 2013 Service Pack 1

· Microsoft Office Web Apps Server 2013 Service Pack 1

· Microsoft Word 2016 (32-bit edition)

· Microsoft Word 2016 (64-bit edition)

· Microsoft SharePoint Server 2019

· Microsoft SharePoint Enterprise Server 2013 Service Pack 1

· Microsoft SharePoint Enterprise Server 2016

· Microsoft 365 Apps for Enterprise for 64-bit Systems

· Microsoft Office 2019 for Mac

· Microsoft Office Online Server

3. 严重等级

威胁等级

高危

影响程度

广泛

利用价值

利用难度

漏洞评分

9.8

4. 处置方法

4.1 官方补丁

目前,微软官方已经发布针对此漏洞的补丁程序,建议用户通过以下链接尽快安装补丁程序:https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716

4.2新华三解决方案

1、新华三安全设备防护方案

新华三IPS规则库将在1.0.230版本支持对该漏洞的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。

2、新华三态势感知解决方案

新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。

3、新华三云安全能力中心解决方案

新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。

4.3临时解决措施

1、使用 Microsoft Outlook来降低用户打开来自未知或不受信任来源的RTF文件的风险。如何配置 Microsoft Outlook 以阅读所有纯文本标准邮件的指南,参考微软官方链接:https://support.microsoft.com/en-us/office/change-the-message-format-to-html-rich-text-format-or-plain-text-338a389d-11da-47fe-b693-cf41f792fefa

2、使用 Microsoft Office 文件阻止策略来防止 Office 打开来自未知或不受信任来源的 RTF 文档。此外,可能导致已配置文件阻止策略但未配置白名单的用户将无法打开以 RTF 格式保存的文档,参考链接:https://learn.microsoft.com/en-us/office/troubleshoot/settings/file-blocked-in-office

(注:该方法需要修改注册表编辑器,不正确修改可能会导致严重问题,可能需要重装系统)

5. 参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716

https://qoop.org/publications/cve-2023-21716-rtf-fonttbl.md

https://support.microsoft.com/zh-cn/office/%E5%AE%89%E8%A3%85-office-%E6%9B%B4%E6%96%B0-2ab296f3-7f03-43a2-8e50-46de917611c5#ID0EBBBBF=%E8%BE%83%E6%96%B0%E7%89%88%E6%9C%AC

新华三官网
联系我们