Resumen de CVE-2023-21716: corrupción del montón en la tabla de fuentes RTF de Microsoft Word
Microsoft ha publicado recientemente un aviso de seguridad en el que se describe la vulnerabilidad CVE-2023-21716, una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a varias versiones de Office, SharePoint y las aplicaciones de 365.
Esta vulnerabilidad se debe a un fallo de corrupción del montón en el analizador sintáctico de formato de texto enriquecido (RTF) de Microsoft Word al procesar una tabla de fuentes (fonttbl) que contiene un número excesivo de fuentes (f###). Un atacante puede aprovecharla enviando un correo electrónico malicioso o subiendo un archivo que contenga una carga útil RTF y incitando al usuario a abrirlo.
Cuando la víctima abre el archivo malicioso, el atacante consigue acceso para ejecutar código arbitrario dentro de la aplicación utilizada para abrir el archivo. Incluso el panel de vista previa puede utilizarse para lanzar un ataque. En consecuencia, esto podría dar lugar a la instalación de malware, al robo de datos confidenciales o a otras actividades maliciosas.
A esta vulnerabilidad se le ha asignado una puntuación CVSS de 9,8 (crítica) debido a su alta facilidad de explotación y a la mínima interacción que requiere por parte de la víctima.
Hemos analizado un archivo RFT que contenía código malicioso utilizando OPSWAT MetaDefender, y observamos que solo 3 de los 21 motores antimalware detectaron la amenaza. Como resultado, una organización que se base en métodos de detección basados en firmas podría quedar potencialmente expuesta a ataques.
Las soluciones provisionales para las vulnerabilidades afectan a la productividad
Microsoft publicó parches en la actualización del «Patch Tuesday» del 14 de febrero de 2023. Recomiendan actualizar los productos afectados.
Para los usuarios que no puedan aplicar la corrección, Microsoft sugiere varias soluciones provisionales para reducir el riesgo de que se abran archivos RTF procedentes de fuentes desconocidas o no fiables. Sin embargo, estas soluciones no son fáciles de implementar ni resultan eficaces para mantener el desarrollo normal de las actividades empresariales.
- Microsoft recomienda leer los correos electrónicos en formato de texto sin formato, aunque es poco probable que esta opción se adopte debido a la falta de texto enriquecido y de contenido multimedia. Si bien esta solución puede eliminar la amenaza, no permite mostrar imágenes, animaciones, texto en negrita o cursiva, fuentes de colores ni otros formatos de texto. Esto da lugar a una pérdida considerable de información esencial en el correo electrónico.
- Otra solución consiste en activar la política de bloqueo de archivos de Microsoft Office, que impide que las aplicaciones de Office abran archivos RTF de origen desconocido o no fiable. Para aplicar este método, es necesario modificar el Registro de Windows. Sin embargo, hay que actuar con precaución, ya que un uso incorrecto del Editor del Registro puede provocar problemas graves que obliguen a reinstalar el sistema operativo. Además, si no se ha designado un «directorio exento», existe la posibilidad de que los usuarios no puedan abrir ningún documento RTF.
Mantén la seguridad sin tener que recurrir a soluciones complicadas ni sacrificar la facilidad de uso
En lugar de recurrir a soluciones complejas o sacrificar la facilidad de uso de los archivos, la tecnología Deep CDR™ (Content Disarm and Reconstruction) ofrece una solución.
La tecnología Deep CDR™ protege contra amenazas avanzadas y de día cero. Identifica y elimina el contenido malicioso de los archivos entrantes, como los archivos adjuntos de correo electrónico o los archivos subidos, al tiempo que garantiza que los archivos sean seguros y se puedan utilizar.
Al eliminar todos los objetos incrustados en los archivos RTF y reconstruir los archivos a partir de componentes seguros y verificados, la tecnología Deep CDR™ garantiza que los archivos estén limpios y sean seguros para su consulta, sin ninguna amenaza potencial.
El proceso de la tecnología Deep CDR™ consta de los siguientes pasos:
La tecnología CDR es muy eficaz a la hora de proteger contra amenazas desconocidas y sofisticadas, ya que no se basa en la detección y el bloqueo de firmas específicas de malware.
La tecnología Deep CDR™ permite a los administradores configurar el proceso de limpieza de los archivos RTF. Para garantizar que los archivos resultantes no contengan vulnerabilidades, todos los archivos RTF se someten a un análisis para determinar el número de fuentes que contienen sus tablas de fuentes. Si el recuento supera un límite preestablecido, las tablas de fuentes se eliminan de los archivos.
De forma predeterminada, se eliminan las tablas de fuentes que contengan más de 4096 fuentes, un límite estándar. No obstante, esta configuración se puede personalizar para facilitar la toma de decisiones informadas y adaptarla a su caso de uso específico.
La tecnología Deep CDR™ ofrece una visión detallada, en la que se enumeran los objetos desinfectados y las medidas tomadas, lo que le permite tomar decisiones fundamentadas para definir configuraciones que se adapten a su caso de uso. A continuación se muestra el resultado del archivo RTF malicioso tras haber sido desinfectado por la tecnología Deep CDR™. Se ha eliminado la fuente incrustada, lo que ha eliminado el vector de ataque. Como resultado, los usuarios pueden abrir el archivo sin temor a que su seguridad se vea comprometida.
Podemos comprobar que la fuente incrustada anómala se ha eliminado al abrir tanto el archivo RTF malicioso original como la versión depurada.
Descubre la mejor solución de seguridad para prevenir el malware de día cero y el malware evasivo avanzado conociendo más sobre la tecnología Deep CDR™ y Multiscanning, o consultando a un experto OPSWAT .
