Kullanıcı özel hazırlanmış bir RTF belgesini önizlerken yararlanılabilen Microsoft Word’deki kritik bir RCE güvenlik açığı olan CVE-2023-21716 için bir PoC istismarı artık herkesin kullanımına sunuldu.
Çok çeşitli MS Office ve SharePoint sürümlerini, Microsoft 365 İşletmeler için Uygulamaları ve diğer ürünleri etkileyen kusur için yamalar Microsoft tarafından geçen ay yayınlandı.
CVE-2023-21716 ve PoC istismarı
CVE-2023-21716, Kasım 2022’de güvenlik araştırmacısı Joshua J. Drake tarafından keşfedildi ve özel olarak ifşa edildi.
Microsoft Word’ün RTF ayrıştırıcısında bulunan ve tetiklendiğinde saldırganların kurbanın ayrıcalıklarıyla uzaktan kod yürütmesine izin veren bir yığın bozulması güvenlik açığıdır. Kusur önceden kimlik doğrulama gerektirmez: Saldırganlar bubi tuzaklı bir RTF dosyasını kurban(lar)a e-posta yoluyla gönderebilir.
“Microsoft Office 2010 ve sonraki sürümleri, güvenilmeyen kaynaklardan alınan kötü amaçlı belgelerin neden olduğu hasarı sınırlamak için Korumalı Görünüm’ü kullanır. Korumalı Görünüm, bu güvenlik açığı ortaya çıktığında etkindir ve bu nedenle tam ayrıcalıklar elde etmek için ek bir sanal alandan kaçış güvenlik açığı gerekir,” diye belirtti Drake, Microsoft’a gönderdiği (ve şimdi yayınladığı) danışma belgesinde/raporda.
Rapor ayrıca, güvenlik açığını tetikleyecek bir dosya oluşturmak için kullanılabilecek bir kavram kanıtı PoC (Python betiği) içerir.
Yamalara eşlik eden güvenlik danışma belgesinde Microsoft, Önizleme Bölmesini bir saldırı vektörü olarak onayladı. Güvenlik açığı bulunan ürünlere yama uygulanması tercih edilse de, şirket ayrıca aşağıdakileri içeren olası geçici çözümler için rehberlik sağladı:
- Microsoft Outlook’u tüm standart postaları düz metin biçiminde okuyacak şekilde yapılandırma
- Office’in bilinmeyen veya güvenilmeyen kaynaklardan gelen RTF belgelerini açmasını önlemek için Microsoft Office Dosya Engelleme ilkesini kullanma.