CVE-2023-21716-Microsoft Word RTF Yazı Tipi Tablosu Yığın Bozulmasına Genel Bakış
Microsoft kısa süre önce Office, SharePoint ve 365 Uygulamalarının çeşitli sürümlerini etkileyen kritik bir Uzaktan Kod Yürütme (RCE) güvenlik açığı olan CVE-2023-21716'yı açıklayan bir güvenlik uyarısı yayınladı.
Bu güvenlik açığı, aşırı sayıda yazı tipi (f###) içeren bir yazı tipi tablosunu (fonttbl) işlerken Microsoft Word'ün Zengin Metin Biçimi (RTF) ayrıştırıcısındaki bir yığın bozulması güvenlik açığı tarafından tetiklenir. Bir saldırgan tarafından kötü amaçlı bir e-posta göndererek veya RTF yükü içeren bir dosya yükleyerek ve kullanıcıyı dosyayı açmaya ikna ederek istismar edilebilir.
Kurban kötü amaçlı dosyayı açtığında, saldırgan dosyayı açmak için kullanılan uygulama içinde rastgele kod çalıştırmak için erişim kazanır. Önizleme bölmesi bile bir saldırı başlatmak için kullanılabilir. Sonuç olarak, bu durum kötü amaçlı yazılımların yüklenmesine, hassas verilerin çalınmasına veya diğer kötü amaçlı faaliyetlere yol açabilir.
Güvenlik açığına, yüksek istismar edilebilirliği ve kurbandan minimum etkileşim gerektirmesi nedeniyle 9.8 (Kritik) CVSS puanı verilmiştir.
kullanarak kötü amaçlı kod içeren bir RFT dosyasını taradık. OPSWAT MetaDefenderve 21 kötü amaçlı yazılımdan koruma motorundan yalnızca 3'ünün tehdidi tespit ettiğini gözlemledik. Sonuç olarak, imza tabanlı tespit yöntemlerine güvenen bir kuruluş potansiyel olarak saldırılara karşı savunmasız hale gelebilir.
Güvenlik açığı geçici çözümleri üretkenliği etkiler
Microsoft, 14 Şubat 2023, Salı Yaması güncellemesinde yamalar yayınladı. Etkilenen ürünlerin güncellenmesini öneriyorlar.
Düzeltmeyi uygulayamayan kullanıcılar için Microsoft, kullanıcıların RTF Dosyalarını bilinmeyen veya güvenilmeyen kaynaklardan açma riskini azaltmak için çeşitli geçici çözümler önermektedir. Ancak, geçici çözümlerin uygulanması ne kolaydır ne de düzenli iş faaliyetlerinin sürdürülmesinde etkilidir.
- Microsoft, e-postaları düz metin biçiminde okumayı önerir, ancak zengin metin ve medya eksikliği nedeniyle bu yöntemin benimsenmesi pek olası değildir. Bu çözüm tehdidi ortadan kaldırabilse de resimlerin, animasyonların, kalın veya italik metinlerin, renkli yazı tiplerinin veya diğer metin biçimlendirmelerinin görüntülenmesini desteklemez. Bu da e-postadaki önemli bilgilerin önemli ölçüde kaybolmasına neden olur.
- Başka bir çözüm de Office uygulamalarının bilinmeyen veya güvenilmeyen kökenlere sahip RTF dosyalarını açmasını kısıtlayan Microsoft Office Dosya Engelleme ilkesini etkinleştirmektir. Bu yöntemi uygulamak için Windows Kayıt Defterini değiştirmek gerekir. Ancak, Kayıt Defteri Düzenleyicisi'nin yanlış kullanımı işletim sisteminin yeniden yüklenmesini gerektirebilecek önemli sorunlara neden olabileceğinden dikkatli olunması gerekir. Ayrıca, bir "muaf dizin" belirlenmemişse, kullanıcıların herhangi bir RTF belgesini açamama olasılığı vardır.
Karmaşık geçici çözümler olmadan veya kullanılabilirlikten ödün vermeden güvende kalın
Karmaşık çözümlerle uğraşmak veya dosya kullanılabilirliğinden ödün vermek yerine Deep CDR (Content Disarm and Reconstruction)) bir çare sunuyor.
Deep CDR teknolojisi gelişmiş ve sıfırıncı gün tehditlerine karşı koruma sağlar. Güvenli, kullanılabilir dosyalar sağlarken e-posta ekleri veya dosya yüklemeleri gibi gelen dosyalardaki kötü amaçlı içeriği tanımlar ve kaldırır.
RTF dosyalarındaki tüm gömülü nesneleri kaldırarak ve dosyaları doğrulanmış güvenli bileşenlerden yeniden oluşturarak, Deep CDR dosyaların sterilize edilmesini ve erişim için güvenli olmasını, herhangi bir potansiyel tehdit içermemesini sağlar.
Deep CDR süreci aşağıdaki adımları içerir:
CDR teknolojisi, belirli kötü amaçlı yazılım imzalarını tespit etmeye ve engellemeye dayanmadığı için bilinmeyen ve sofistike tehditlere karşı korumada oldukça etkilidir.
Deep CDR yöneticilerin RFT dosyaları için sanitizasyon sürecini yapılandırmasını sağlar. Çıktı dosyalarının güvenlik açığı içermediğinden emin olmak için, tüm RTF dosyaları yazı tipi tablolarındaki yazı tipi sayısını belirlemek için analizden geçirilir. Sayı önceden yapılandırılmış bir sınırı aşarsa, yazı tipi tabloları dosyalardan elenir.
Varsayılan olarak, standart bir sınır olan 4096'dan fazla font içeren font tabloları kaldırılır. Ancak bu yapılandırma, bilinçli karar vermeyi sağlamak ve özel kullanım durumunuzla uyumlu hale getirmek için özelleştirilebilir.
Deep CDR sterilize edilen nesneleri ve gerçekleştirilen eylemleri listeleyen derinlemesine görünümler sağlar ve kullanım durumunuza uygun yapılandırmaları tanımlamak için bilinçli seçimler yapmanıza olanak tanır. Aşağıda, Deep CDR tarafından sterilize edildikten sonra kötü amaçlı RTF dosyasının sonucu yer almaktadır. Gömülü yazı tipi kaldırılarak saldırı vektörü ortadan kaldırılmıştır. Sonuç olarak, kullanıcılar tehlikeye girme endişesi olmadan dosyayı açabilir.
Hem orijinal kötü amaçlı RTF dosyasını hem de sterilize edilmiş sürümü açarak anormal gömülü yazı tipinin kaldırıldığını gözlemleyebiliriz.
Hakkında daha fazla bilgi edinerek sıfırıncı gün ve gelişmiş kötü amaçlı yazılımları önlemek için en iyi güvenlik çözümünü keşfedin Deep CDR ve Multiscanningveya bir OPSWAT teknik uzmanına danışarak yapabilirsiniz.
