Blog home
Sicherheitslücken

Behebung des kritischen Word-RTF-Font-Tabellen-Heap-Bugs CVE-2023-21716: Open-Source-Lösung

Patrick Munch
March 10, 2023
Lesedauer: 5 Minuten

Microsoft Word ist ein unverzichtbares Tool, das von Einzelpersonen und Unternehmen weltweit verwendet wird. Kürzlich wurde jedoch entdeckt, dass Microsoft Word anfällig für eine kritische Sicherheitslücke ist, die als RTF Font Table Heap Corruption bekannt ist. Diese kann es Angreifern ermöglichen, beliebige Befehle mit den Rechten des Opfers über bösartige RTF-Dateien auszuführen.

In diesem Artikel besprechen wir, wie Sie die Sicherheitsanfälligkeit erkennen und sich davor schützen können, um sicherzustellen, dass Ihre Systeme sicher bleiben.

Die Sicherheitslücke verstehen

Microsoft Word ist in der Lage, Dokumente im Rich-Text-Format (RTF) zu verarbeiten, die aus 7-Bit-ASCII-basierten Schlüsselwörtern bestehen, die eine Vielzahl von reichhaltigen Inhalten enthalten können. Vor Kurzem wurde im RTF-Parser von MS Office Word eine Sicherheitslücke gefunden, die zu einer Beschädigung des Heaps führt. Diesem Problem wurde CVE-2021-21974 zugewiesen und es wurde von Joshua J. Drake (@jduck) entdeckt, analysiert und gemeldet. Er hat auf Twitter einen Machbarkeitsnachweis veröffentlicht, der in der folgenden Abbildung zu sehen ist.

joshuajdrak

Der RTF-Parser in Microsoft Word weist eine Sicherheitslücke auf, die auf eine Heap-Korruption zurückzuführen ist, wenn er auf eine Schrifttabelle stößt (\ fonttbl), das eine übermäßige Anzahl von Schriftarten hat (\ f###). Bei der Verarbeitung von Schrifttabellen lädt der RTF-Parser den Font-ID-Wert (\ f####) und füllt die oberen Bits von EDX mit diesem Wert. Wenn der Font-ID-Wert in einer Schrifttabelle zu groß ist, kann der RTF-Parser den Heap beschädigen, was zu einem negativen Offset im in ESI gespeicherten Speicher führt. Diese Sicherheitslücke, die den Heap beschädigt, kann ausgenutzt werden, um beliebige Befehle mit den Rechten des Opfers auszuführen.

Diese Sicherheitslücke hat vor allem aus den folgenden Gründen große Aufmerksamkeit erregt:

  • Der Angriff ist von geringer Komplexität und kann so einfach sein wie das Anhängen eines RTF-Dokuments an eine E-Mail.
  • Der Angreifer benötigt keinen privilegierten Benutzerzugriff.
  • Das Opfer muss nicht mit dem Dokument interagieren, damit der Angriff stattfindet.
  • Eine vorherige Authentifizierung ist nicht erforderlich.
  • Die angeblich sichere Funktion „Vorschaufenster“ in Microsoft kann auch als Bedrohungsvektor verwendet werden.

Es ist erwähnenswert, dass das Opfer das RTF-Dokument möglicherweise nicht einmal öffnen muss und das bloße Laden der Datei in das Vorschaufenster ausreicht, um die Kompromittierung auszulösen.

Der Umgang mit dieser Sicherheitsanfälligkeit umfasst die folgenden Schritte:

  • Am sichersten ist es, das Sicherheitsupdate von Microsoft zu installieren
  • Für diejenigen, die die Korrekturen nicht anwenden können, besteht eine Lösung darin, E-Mails im Klartextformat zu lesen
  • Eine weitere Option besteht darin, die Microsoft Office File Block Policy zu aktivieren, was die Bearbeitung der Registrierung beinhaltet

Sind Ihre Systeme gefährdet? Erkennung der Beschädigung des Heaps in der Microsoft Word-RTF-Schrifttabelle CVE-2023-21716

Microsoft ausgegeben die kritische Sicherheitslücke CVE-2023-21716, die Folgendes betrifft:

  • Office 2021 Retail: Version unter 2301 (Build 16026.20200)
  • Office 2019 Retail: Version unter 2301 (Build 16026.20200)
  • Office 2016 Retail: Version unter 2301 (Build 16026.20200)
  • Office LTSC 2021 Volumenlizenz: Version unter 2108 (Build 14332.20461)
  • Office 2019-Volumenlizenz: Version unter 1808 (Build 10395.20020)

Und die folgenden SharePoint-Versionen:

  • SharePoint Enterprise Server 2013: Version unter 15.0.5529.1000
  • SharePoint Enterprise Server 2016: Version unter 16.0.5383.1000
  • SharePoint Enterprise Server 2019: Version unter 16.0.10395.20001.

Effiziente Inventarisierung von Vermögenswerten in Multi-Cloud- und Hybrid-Cloud-Umgebungen: Eine Mondoo-Lösung

Mit der GraphQL-basierten Abfragesprache MQL von Mondoo können Sie effizient Informationen über die auf Ihren Assets installierten Pakete sammeln, unabhängig davon, ob es sich um Container-Images, VMs, Bare-Metal-Server oder etwas anderes handelt.

Find and fix the security risks that pose the biggest threat to your business.

Get started

Falls Sie cnquery noch nicht installiert haben, folgen Sie unseren Anleitung. Sobald Sie es installiert haben, können Sie über SSH Informationen über installierte Pakete von einem Windows-System abrufen:

cnquery shell ssh vagrant@192.168.56.221 --ask-pass

packages.where( name == /Office/ && name == /2016|2019|2021/ )

Use cnquery to gather information about installed packages from a Windows system via ssh

Sie können die cnquery-Shell auch in PowerShell auf dem Windows-System ausführen:

.\cnquery.exe shell

packages.where( name == /SharePoint/ )

cnquery shell in PowerShell on the Windows system

Wir haben ein spezielles Windows Incident Response Pack integriert, um eine schnelle Datenerfassung zu ermöglichen. Sie können das komplette Repository von herunterladen Conquery-Pakete. Mit diesem Paket können Sie Container-Images, ausgeführte Container, virtuelle Maschinen und die lokale Maschine validieren.

Um das Windows-System über SSH zu überprüfen, führen Sie Folgendes aus:

cnquery scan ssh vagrant@192.168.56.221 --ask-pass -f cnquery-packs/core/mondoo-windows-incident-response.mql.yaml -o full
Use cnquery to inspect the Windows system via ssh

Sie können den gleichen Ansatz lokal anwenden:

.\cnquery.exe scan --querypack mondoo-windows-incident-response -o full
Use cnquery to inspect the Windows system local approach

Vermeidung zukünftiger Sicherheitslücken: Sicherstellen, dass keine neuen Installationen von CVE-2023-21716 betroffen sind

Nach dem Patchen aller identifizierten Systeme muss unbedingt verhindert werden, dass neue Systeme die betroffenen Versionen von Microsoft Word RTF Font Table Heap Corruption verwenden. Um dieses Problem zu beheben, haben wir in cnspec eine neue Microsoft-Schwachstellenrichtlinie eingeführt. Diese Richtlinie stellt sicher, dass nicht alle Pakete von der Sicherheitsanfälligkeit betroffen sind.

Falls Sie cnspec noch nicht installiert haben, folgen Sie unseren Anweisungen. cnspec erzwingt die richtigen Einstellungen durch Steuerelemente, die MQL-Abfragen verwenden. Mit dieser Abfrage können Sie überprüfen, ob die betroffene Version nicht verwendet wird:

packages.where( name == /SharePoint/ && name == /2016/ ).all(version.split('.')[0] == 15 && version.split('.')[2] >= 5529)
packages.where( name == /SharePoint/ && name == /2016/ ).all(version.split('.')[0] == 16 && version.split('.')[2] >= 5383)
packages.where( name == /SharePoint/ && name == /2019/ ).all(version.split('.')[0] == 16 && version.split('.')[2] >= 10395)

packages.where( name == /Office/ && name == /2016|2019|2021/ ).all(version.split('.')[0] == 16 && version.split('.')[2] >= 16026)

Laden Sie das herunter conspec-policy repo und führen Sie die cnspec-Richtlinie über SSH aus:

cnspec scan ssh vagrant@192.168.56.221 --ask-pass -f cnspec-policies/core/mondoo-microsoft-vulnerability.mql.yaml

run cnspec policy via ssh
.\cnspec.exe scan -f .\cnspec-policies-main\core\mondoo-microsoft-vulnerability.mql.yaml

cnspec scan for vulnerabilities

Ergreifen Sie proaktive Maßnahmen und sichern Sie Ihre Systeme mit der Leistung von Mondoo. Eröffnen Sie ein kostenloses Konto heute, um Ihre Systeme einfach zu validieren und Sicherheitslücken kontinuierlich mit den neuesten Sicherheitsupdates zu bewerten. Oder buchen Sie eine Demo mit uns um zu erfahren, wie Mondoo Ihre Cybersicherheitsstrategie revolutionieren kann. Warten Sie nicht, bis es zu spät ist, schützen Sie Ihre Systeme jetzt mit Mondoo.

Patrick Munch

Patrick, Chief Information Security Officer (CISO) bei Mondoo, ist hochqualifiziert darin, jedes System zu schützen und zu hacken, das er in die Finger bekommt. Er hat bei der SVA GmbH ein erfolgreiches Team für Penetrationstests und Incident-Response aufgebaut, dessen Ziel es ist, das Sicherheitsniveau von Unternehmen zu erhöhen und die Auswirkungen von Ransomware-Angriffen zu begrenzen. Jetzt kann Patrick als Teil des Mondoo-Teams dazu beitragen, weitaus mehr Unternehmen vor Cybersicherheitsbedrohungen zu schützen.

You might also like

Vergleiche
Mondoo gegen Tenable — Zehn Möglichkeiten, Tenable-Alternativen zu vergleichen
Deborah Galea
August 4, 2025
Sanierung
Wie wir unser Risiko in weniger als drei Stunden um 54% reduziert haben
Parag Baxi
July 24, 2025
Sanierung
Branchenweit erste Priorisierung von Problembehebungen unter Berücksichtigung der Auswirkungen und des Aufwands
Deborah Galea
July 24, 2025

Stay informed with our news and new articles

Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.