CVE-2023-21716-Microsoft Word RTF Yazı Tipi Tablosu Yığın Bozulmasına Genel Bakış
Microsoft kısa süre önce Office, SharePoint ve 365 Uygulamalarının çeşitli sürümlerini etkileyen kritik bir Uzaktan Kod Yürütme (RCE) güvenlik açığı olan CVE-2023-21716'yı açıklayan bir güvenlik uyarısı yayınladı.
Bu güvenlik açığı, aşırı sayıda yazı tipi (f###) içeren bir yazı tipi tablosunu (fonttbl) işlerken Microsoft Word'ün Zengin Metin Biçimi (RTF) ayrıştırıcısındaki bir yığın bozulması güvenlik açığı tarafından tetiklenir. Bir saldırgan tarafından kötü amaçlı bir e-posta göndererek veya RTF yükü içeren bir dosya yükleyerek ve kullanıcıyı dosyayı açmaya ikna ederek istismar edilebilir.
Kurban kötü amaçlı dosyayı açtığında, saldırgan dosyayı açmak için kullanılan uygulama içinde rastgele kod çalıştırmak için erişim kazanır. Önizleme bölmesi bile bir saldırı başlatmak için kullanılabilir. Sonuç olarak, bu durum kötü amaçlı yazılımların yüklenmesine, hassas verilerin çalınmasına veya diğer kötü amaçlı faaliyetlere yol açabilir.
Güvenlik açığına, yüksek istismar edilebilirliği ve kurbandan minimum etkileşim gerektirmesi nedeniyle 9.8 (Kritik) CVSS puanı verilmiştir.
kullanarak kötü amaçlı kod içeren bir RFT dosyasını taradık. OPSWAT MetaDefenderve 21 kötü amaçlı yazılımdan koruma motorundan yalnızca 3'ünün tehdidi tespit ettiğini gözlemledik. Sonuç olarak, imza tabanlı tespit yöntemlerine güvenen bir kuruluş potansiyel olarak saldırılara karşı savunmasız hale gelebilir.
Güvenlik açığı geçici çözümleri üretkenliği etkiler
Microsoft, 14 Şubat 2023, Salı Yaması güncellemesinde yamalar yayınladı. Etkilenen ürünlerin güncellenmesini öneriyorlar.
Düzeltmeyi uygulayamayan kullanıcılar için Microsoft, kullanıcıların RTF Dosyalarını bilinmeyen veya güvenilmeyen kaynaklardan açma riskini azaltmak için çeşitli geçici çözümler önermektedir. Ancak, geçici çözümlerin uygulanması ne kolaydır ne de düzenli iş faaliyetlerinin sürdürülmesinde etkilidir.
- Microsoft, e-postaları düz metin biçiminde okumayı önerir, ancak zengin metin ve medya eksikliği nedeniyle bu yöntemin benimsenmesi pek olası değildir. Bu çözüm tehdidi ortadan kaldırabilse de resimlerin, animasyonların, kalın veya italik metinlerin, renkli yazı tiplerinin veya diğer metin biçimlendirmelerinin görüntülenmesini desteklemez. Bu da e-postadaki önemli bilgilerin önemli ölçüde kaybolmasına neden olur.
- Başka bir çözüm de Office uygulamalarının bilinmeyen veya güvenilmeyen kökenlere sahip RTF dosyalarını açmasını kısıtlayan Microsoft Office Dosya Engelleme ilkesini etkinleştirmektir. Bu yöntemi uygulamak için Windows Kayıt Defterini değiştirmek gerekir. Ancak, Kayıt Defteri Düzenleyicisi'nin yanlış kullanımı işletim sisteminin yeniden yüklenmesini gerektirebilecek önemli sorunlara neden olabileceğinden dikkatli olunması gerekir. Ayrıca, bir "muaf dizin" belirlenmemişse, kullanıcıların herhangi bir RTF belgesini açamama olasılığı vardır.
Karmaşık geçici çözümler olmadan veya kullanılabilirlikten ödün vermeden güvende kalın
Karmaşık çözümlerle uğraşmak veya dosya kullanılabilirliğinden ödün vermek yerine, Deep CDR™ Teknolojisi (İçerik Etkisizleştirme ve Yeniden Yapılandırma) bir çözüm sunar.
Deep CDR™ Teknolojisi, gelişmiş ve sıfır gün tehditlerine karşı koruma sağlar. E-posta ekleri veya dosya yüklemeleri gibi gelen dosyalardaki kötü amaçlı içeriği tanımlar ve kaldırırken, güvenli ve kullanılabilir dosyalar sağlar.
RTF dosyalarındaki tüm gömülü nesneleri kaldırarak ve doğrulanmış güvenli bileşenlerden dosyaları yeniden oluşturarak Deep CDR™ Teknolojisi, dosyaların temizlenmesini ve erişim için güvenli olmasını, herhangi bir potansiyel tehdit içermemesini sağlar.
Deep CDR™ Teknolojisi süreci aşağıdaki adımları içerir:
CDR teknolojisi, belirli kötü amaçlı yazılım imzalarını tespit etmeye ve engellemeye dayanmadığı için bilinmeyen ve sofistike tehditlere karşı korumada oldukça etkilidir.
Deep CDR™ Teknolojisi, yöneticilerin RFT dosyaları için temizleme sürecini yapılandırmasına olanak tanır. Çıktı dosyalarının güvenlik açığı içermediğinden emin olmak için, tüm RTF dosyaları yazı tipi tablolarındaki yazı tipi sayısını belirlemek üzere analize tabi tutulur. Sayı önceden yapılandırılmış sınırı aşarsa, yazı tipi tabloları dosyalardan kaldırılır.
Varsayılan olarak, standart bir sınır olan 4096'dan fazla font içeren font tabloları kaldırılır. Ancak bu yapılandırma, bilinçli karar vermeyi sağlamak ve özel kullanım durumunuzla uyumlu hale getirmek için özelleştirilebilir.
Deep CDR™ Teknolojisi, temizlenmiş nesneleri ve gerçekleştirilen eylemleri listeleyen ayrıntılı görünümler sunarak, kullanım durumunuza uygun yapılandırmaları tanımlamak için bilinçli seçimler yapmanızı sağlar. Aşağıda, Deep CDR™ Teknolojisi ile temizlendikten sonra kötü amaçlı RTF dosyasının sonucu gösterilmektedir. Gömülü yazı tipi kaldırılmış ve böylece saldırı vektörü ortadan kaldırılmıştır. Sonuç olarak, kullanıcılar güvenliğinin tehlikeye atılmasından endişe etmeden dosyayı açabilirler.
Hem orijinal kötü amaçlı RTF dosyasını hem de sterilize edilmiş sürümü açarak anormal gömülü yazı tipinin kaldırıldığını gözlemleyebiliriz.
Deep CDR™ Teknolojisi ve Multiscanninghakkında daha fazla bilgi edinerek veya bir OPSWAT uzmanına danışarak en iyi güvenlik çözümünü keşfedin.
