Dovoljan je pregled (preview) datoteke…
Prošlog tjedna, istraživač kibernetičke sigurnosti Joshua Drake objavio je dokaze o ranjivosti u Microsoft Wordu, detaljno opisujući način na koji akteri prijetnji isporučuju malware bez potrebe da korisnici uopće i otvore datoteku.
Ovaj malware se prati pod oznakom CVE-2023-21716. Dobio je ocjenu ozbiljnosti 9,8 i smatra se kritičnim jer omogućuje daljinsko izvršavanje koda. BleepingComputer je izvijestio da je Microsoft to popravio u kumulativnom ažuriranju tijekom veljače Patch Tuesday.
Prema Drakeovom izvješću, RTF parser u Microsoft Wordu nosi grešku koja se može aktivirati “kada se radi s tablicom fontova koja sadrži preveliki broj fontova.” Štoviše, ranjivost je relativno lako napisati, budući da cijeli kod može stati u jedan tweet.
CVE-2023-21716 Python PoC (take 2) open(“t3zt.rtf”,”wb”).write((“{\\rtf1{\n{\\fonttbl” + “”.join([ (“{\\f%dA;}\n” % i) for i in range(0,32761) ]) + “}\n{\\rtlch no crash??}\n}}\n”).encode(‘utf-8’))
— Joshua J. Drake (@jduck) March 5, 2023
S druge strane, Microsoft je uvjeravao korisnike da je “manje vjerojatno da će se ova greška masovno zlorabiti”, dodajući da nema dokaza da se to do sada i dogodilo. Istini za volju, ne možemo sa sigurnošću reći može li se Drakeov PoC naoružati ili ne, budući da su iskorištavanje pokazali do sada samo u teoriji.
Za one koji nisu zainteresirani za bilo kakvo riskiranje, najbolji način da ostanu zaštićeni je primijeniti Microsoftovo kumulativno ažuriranje objavljeno u veljači Patch Tuesday. Oni koji ne mogu primijeniti ovaj popravak iz bilo kojeg razloga trebali bi čitati e-poštu u običnom tekstualnom formatu ili omogućiti pravilo blokiranja datoteka Microsoft Officea, koje zabranjuje aplikacijama sustava Office otvaranje RTF dokumenata koji potječu iz nepouzdanih izvora.
Za potonje je ipak potrebno malo više vještine jer Windows Registry treba dodatno doraditi. Uz napomenu, “ako neispravno koristite uređivač registra, možete izazvati ozbiljne probleme koji mogu zahtijevati ponovnu instalaciju operativnog sustava”, upozorava Microsoft.
Također, ako ne postavite “imenik izuzetaka”, možda više nećete moći otvoriti niti jedan RTF dokument.
Piše: D.M.
