欢迎user
威胁预警团队
2023/03/07
Microsoft Office Word是微软公司的一个文字处理器应用程序。Word给用户提供了创建、编辑和保存专业文档等功能,例如信函和报告。近日,新华三攻防实验室威胁预警团队监测到微软2月通告中的Microsoft Office Word远程代码执行漏洞(CVE-2023-21716)利用代码已公开,攻击者利用该漏洞可在目标系统上执行任意代码。
该漏洞是由于Microsoft Word的RTF解析器(wwlib)中存在远程代码执行漏洞,未经身份验证的恶意攻击者可以通过发送带有特制RTF文件的电子邮件,诱导用户下载并打开特制文档,成功利用此漏洞可在目标系统上以受害者用户权限执行任意代码。(使用预览窗格对文件预览也会触发此漏洞)。
通过点击打开恶意.RTF文档,执行任意代码
· SharePoint Server Subscription Edition Language Pack
· Microsoft 365 Apps for Enterprise for 32-bit Systems
· Microsoft Office LTSC 2021 for 64-bit editions
· Microsoft SharePoint Server Subscription Edition
· Microsoft Office LTSC 2021 for 32-bit editions
· Microsoft Office LTSC for Mac 2021
· Microsoft Word 2013 Service Pack 1 (64-bit editions)
· Microsoft Word 2013 RT Service Pack 1
· Microsoft Word 2013 Service Pack 1 (32-bit editions)
· Microsoft SharePoint Foundation 2013 Service Pack 1
· Microsoft Office Web Apps Server 2013 Service Pack 1
· Microsoft Word 2016 (32-bit edition)
· Microsoft Word 2016 (64-bit edition)
· Microsoft SharePoint Server 2019
· Microsoft SharePoint Enterprise Server 2013 Service Pack 1
· Microsoft SharePoint Enterprise Server 2016
· Microsoft 365 Apps for Enterprise for 64-bit Systems
· Microsoft Office 2019 for Mac
· Microsoft Office Online Server
威胁等级 | 高危 |
影响程度 | 广泛 |
利用价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.8 |
目前,微软官方已经发布针对此漏洞的补丁程序,建议用户通过以下链接尽快安装补丁程序:https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716
1、新华三安全设备防护方案
新华三IPS规则库将在1.0.230版本支持对该漏洞的识别,新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截。
2、新华三态势感知解决方案
新华三态势感知已支持该漏洞的检测,通过信息搜集整合、数据关联分析等综合研判手段,发现网络中遭受该漏洞攻击及失陷的资产。
3、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
1、使用 Microsoft Outlook来降低用户打开来自未知或不受信任来源的RTF文件的风险。如何配置 Microsoft Outlook 以阅读所有纯文本标准邮件的指南,参考微软官方链接:https://support.microsoft.com/en-us/office/change-the-message-format-to-html-rich-text-format-or-plain-text-338a389d-11da-47fe-b693-cf41f792fefa
2、使用 Microsoft Office 文件阻止策略来防止 Office 打开来自未知或不受信任来源的 RTF 文档。此外,可能导致已配置文件阻止策略但未配置白名单的用户将无法打开以 RTF 格式保存的文档,参考链接:https://learn.microsoft.com/en-us/office/troubleshoot/settings/file-blocked-in-office
(注:该方法需要修改注册表编辑器,不正确修改可能会导致严重问题,可能需要重装系统)
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716