סקירה כללית של CVE-2023-21716 - פגיעה בערימת טבלת גופני RTF ב-Microsoft Word
מיקרוסופט פרסמה לאחרונה הודעת אבטחה המתארת את CVE-2023-21716 , פגיעות קריטית של ביצוע קוד מרחוק (RCE) המשפיעה על מספר גרסאות של יישומי Office, SharePoint ו-365.
פגיעות זו מופעלת עקב פגיעות של פגיעה בערימה (heap patch) במנתח פורמט טקסט עשיר (RTF) של Microsoft Word בעת עיבוד טבלת גופנים (fonttbl) המכילה מספר מופרז של גופנים (f###). תוקף יכול לנצל אותה על ידי שליחת דוא"ל זדוני או העלאת קובץ המכיל מטען RTF ופיתוי המשתמש לפתוח את הקובץ.
כאשר הקורבן פותח את הקובץ הזדוני, התוקף מקבל גישה להפעלת קוד שרירותי בתוך היישום בו נעשה שימוש לפתיחת הקובץ. אפילו חלונית התצוגה המקדימה יכולה לשמש להפעלת מתקפה. כתוצאה מכך, הדבר עלול להוביל להתקנת תוכנות זדוניות, גניבת מידע רגיש או פעילויות זדוניות אחרות.
הפגיעות קיבלה ציון CVSS של 9.8 (קריטי) בשל יכולת הניצול הגבוהה שלה והאינטראקציה המינימלית הנדרשת מהקורבן.
סרקנו קובץ RFT המכיל קוד זדוני באמצעות OPSWAT MetaDefender , וצפינו שרק 3 מתוך 21 מנועי אנטי-וירוס זיהו את האיום. כתוצאה מכך, ארגון שמסתמך על שיטות זיהוי מבוססות חתימות עלול להפוך לפגיע להתקפות.
פתרונות לעקיפת פגיעויות משפיעים על הפרודוקטיביות
מיקרוסופט פרסמה את התיקונים בעדכון Patch Tuesday מ-14 בפברואר 2023. הם ממליצים לעדכן את המוצרים המושפעים.
עבור משתמשים שאינם יכולים ליישם את התיקון, מיקרוסופט מציעה מספר פתרונות עוקפים כדי להפחית את הסיכון שמשתמשים יפתחו קבצי RTF ממקורות לא ידועים או לא מהימנים. עם זאת, הפתרונות עוקפים אינם קלים ליישום ואינם יעילים בשמירה על פעילויות עסקיות שוטפות.
- מיקרוסופט מציעה לקרוא מיילים בפורמט טקסט רגיל, דבר שסביר להניח שלא יאומץ עקב היעדר טקסט עשיר ומדיה. בעוד שפתרון זה יכול לבטל את האיום, הוא אינו תומך בהצגת תמונות, אנימציות, טקסט מודגש או נטוי, גופנים צבעוניים או עיצוב טקסט אחר. התוצאה היא אובדן משמעותי של מידע חיוני בדוא"ל.
- פתרון נוסף הוא הפעלת מדיניות חסימת הקבצים של Microsoft Office, אשר מגבילה יישומי Office מלפתוח קבצי RTF שמקורם אינו ידוע או אינו מהימן. יש צורך לשנות את הרישום של Windows כדי ליישם שיטה זו. עם זאת, נדרשת זהירות, שכן שימוש לא נכון בעורך הרישום עלול לגרום לבעיות משמעותיות שעשויות לדרוש התקנה מחדש של מערכת ההפעלה. יתר על כן, אם לא הוגדרה "ספרייה פטורה", קיימת אפשרות שמשתמשים לא יוכלו לפתוח מסמכי RTF.
הישארו מאובטחים ללא פתרונות מסובכים או פגיעה בשימושיות
במקום להתמודד עם פתרונות מורכבים או להתפשר על שמישות הקבצים, Deep CDR (נטרול תוכן ובנייה מחדש)) מציע פתרון.
Deep CDR הטכנולוגיה מגנה מפני איומים מתקדמים ואיומים של יום אפס. היא מזהה ומסירה תוכן זדוני מקבצים נכנסים, כגון קבצים מצורפים לדוא"ל או העלאות קבצים, תוך שהיא מספקת קבצים בטוחים ושמישים.
על ידי הסרת כל האובייקטים המוטמעים בקבצי RTF ושחזור קבצים מרכיבים מאובטחים שאומתו, Deep CDR מבטיח שהקבצים יטופלו ומאובטחים לגישה, נטולי כל איום פוטנציאלי.
Deep CDR התהליך כולל את השלבים הבאים:
טכנולוגיית CDR יעילה ביותר בהגנה מפני איומים לא ידועים ומתוחכמים, מכיוון שהיא אינה מסתמכת על זיהוי וחסימה של חתימות תוכנות זדוניות ספציפיות.
Deep CDR מאפשר למנהלי מערכת להגדיר את תהליך החיטוי עבור קבצי RFT. כדי להבטיח שקבצי הפלט נקיים מפגיעויות, כל קבצי ה-RTF עוברים ניתוח כדי לקבוע את מספר הגופנים בטבלאות הגופנים שלהם. אם הספירה חורגת ממגבלה מוגדרת מראש, טבלאות הגופנים מוסרות מהקבצים.
כברירת מחדל, טבלאות גופנים עם יותר מ-4096 גופנים, מגבלה סטנדרטית, מוסרות. עם זאת, ניתן להתאים אישית תצורה זו כדי לאפשר קבלת החלטות מושכלת ולהתאים אותה למקרה השימוש הספציפי שלך.
Deep CDR מספק תצוגות מעמיקות, המפרטות את האובייקטים שעברו ניקוי והפעולות שבוצעו - ומאפשרות לך לקבל החלטות מושכלות כדי להגדיר תצורות המתאימות לתרחיש השימוש שלך. להלן תוצאת קובץ ה-RTF הזדוני לאחר ניקויו על ידי Deep CDR הגופן המוטמע הוסר, מה שביטל את וקטור התקיפה. כתוצאה מכך, משתמשים יכולים לפתוח את הקובץ מבלי לדאוג שייפגעו.
אנו יכולים לראות שהגופן המוטמע החריג הוסר על ידי פתיחת קובץ ה-RTF הזדוני המקורי וגם הגרסה שעברה ניקוי.
גלו את פתרון האבטחה הטוב ביותר למניעת תוכנות זדוניות מתקדמות ותוכנות זדוניות חמקניות של יום אפס על ידי לימוד נוסף על Deep CDR ו- Multiscanning , או על ידי התייעצות עם מומחה טכני OPSWAT .
