El investigador Joshua J. Drake (@jduck) ha publicado los detalles de la vulnerabilidad Zero-Day de Microsoft Word que Microsoft corrigió en las actualizaciones de parches de febrero de 2023. Microsoft corrigió esta vulnerabilidad de Microsoft Word, identificada como CVE-2023-21716, que puede conducir a la ejecución remota de código (RCE).
Ya hay actores maliciosos que están lanzando campañas aprovechando la vulnerabilidad, que es tan sencilla que entra en un twit.
En la actualización del parche de febrero de 2023, Microsoft corrigió 75 vulnerabilidades de seguridad en varios productos de Microsoft, incluidos tres Zero-Day.
Entre las vulnerabilidades Zero-Day que se abordaron, se solucionó una vulnerabilidad de ejecución remota de código (RCE) de gravedad crítica que existía en Microsoft Word (CVE-2023-21716) con un puntaje CVSS de 9.8/10 . Estas vulnerabilidades es fácilmente explotables por los operadores de ransomware, lo que la convierte en una gran preocupación para los usuarios.
Está vulnerabilidad, dentro de wwlib de Microsoft Office, permite a los atacantes lograr la ejecución remota de código con los privilegios de la víctima que abre un documento RTF malicioso. El atacante podría entregar este archivo como un archivo adjunto de correo electrónico (u otros medios).
La vulnerabilidad radica en el analizador RTF en Microsoft Word, que contiene una vulnerabilidad de corrupción cuando se trata de una tabla de fuentes (\fonttbl) que contiene una cantidad excesiva de fuentes. Los atacantes pueden explotar esta escritura de memoria fuera de los límites para ejecutar código arbitrario con los privilegios de la víctima que abre el documento RTF malicioso.
El fallo es grave porque permitiría tomar el control completo del sistema sin siquiera abrir el archivo, es decir con un exploit de Zero-Clicks. Inicialmente, los archivos afectados tienen extensión .RTF pero pueden ser modificados para ser ejecutados al descargar el archivo e incluso al verlo en el explorador de archivos.
Para aprovechar esta vulnerabilidad, un atacante podría entregar un archivo RTF malicioso como un archivo adjunto de correo electrónico o por otros medios. Cuando la víctima abre el archivo, se activa la vulnerabilidad y el atacante puede ejecutar código arbitrario con los mismos privilegios que la víctima, lo que potencialmente le permitiría tomar el control del sistema.
Versiones afectadas
Según el investigador, esta vulnerabilidad afecta al menos a las siguientes versiones de Microsoft Office:
- Microsoft Office 365 (Vista previa de Insider – 2211 Build 15831.20122 CTR)
- Microsoft Office 2016 (incluido Insider Slow – 1704 Build 8067.2032 CTR)
- Microsoft Office 2013
- Microsoft Office 2010
- Microsoft Office 2007
Las versiones anteriores también pueden verse afectadas, pero no se probaron.
Se puede desactivar la apertura de archivos RTF por defecto de la siguiente manera.
Al igual que sucedía con la vulnerabillidad Follina, también se pueden bloquear los archivos RTF a través de la desactivación del protocolo de URL MSDT, ya sea borrando la línea de registro que da soporte a MSDT (reg delete HKEY_CLASSES_ROOT\ms-msdt /f) o bloqueando los archivos RTF para que no se puedan abrir con Microsoft Office.
Office 2013
[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock]
Set the RtfFiles DWORD value to 2.
Set the OpenInProtectedView DWORD value to 0.
Office 2016 / 2019 / 2021
[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]
Set the RtfFiles DWORD value to 2.
Set the OpenInProtectedView DWORD value to 0.
Fuente y redacción: segu-info.com.ar