Durante el fin de semana se publicó una prueba de concepto para CVE-2023-21716, una vulnerabilidad crítica en Microsoft Phrase que permite la ejecución remota de código.
A la vulnerabilidad se le asignó una puntuación de gravedad de 9,8 sobre 10, y Microsoft la abordó en las actualizaciones de seguridad del martes de parches de febrero junto con un par de soluciones alternativas.
La puntuación de gravedad se da principalmente por la baja complejidad del ataque, junto con la falta de privilegios y la interacción del usuario necesaria para explotarlo.
PoC del tamaño de un tweet
El investigador de seguridad Joshua Drake descubrió el año pasado la vulnerabilidad en “wwlib.dll” de Microsoft Workplace y envió a Microsoft un aviso técnico que contenía un código de prueba de concepto (PoC) que mostraba que el problema es explotable.
Un atacante remoto podría aprovechar el problema para ejecutar código con los mismos privilegios que la víctima que abre un documento .RTF malicioso.
Entregar el archivo malicioso a una víctima puede ser tan fácil como adjuntarlo a un correo electrónico, aunque existen muchos otros métodos.
Microsoft advierte que los usuarios no tienen que abrir un documento RTF malicioso y simplemente cargar el archivo en el Panel de vista previa es suficiente para que comience el compromiso.
El investigador explica que el analizador RTF en Microsoft Phrase tiene una vulnerabilidad de corrupción de montón que se activa “cuando se trata de una tabla de fuentes (*fonttbl*) que contiene una cantidad excesiva de fuentes (*f###*)”.
Drake cube que hay un procesamiento adicional después de que ocurre la corrupción de la memoria y un actor de amenazas podría aprovechar el error para la ejecución de código arbitrario mediante el uso de “un diseño de almacenamiento dinámico correctamente diseñado”.
El PoC del investigador muestra el problema de corrupción del montón, pero no llega a iniciar la aplicación Calculadora en Home windows para demostrar la ejecución del código.
Inicialmente, la PoC tenía un poco más de una docena de líneas, incluidos los comentarios. Desde el informe enviado a Microsoft en noviembre de 2022, el investigador recortó algunas líneas y logró encajar todo en un tuit:
Por el momento, no hay indicios de que la vulnerabilidad se esté explotando de forma salvaje y la evaluación precise de Microsoft es que aprovechar el problema es “menos possible”.
Las vulnerabilidades críticas como esta llaman la atención de los actores de amenazas, y los más avanzados intentan aplicar ingeniería inversa a la solución para encontrar una manera de aprovecharla.
Por lo basic, cuando el código de explotación está disponible, un grupo más grande de atacantes comienza a utilizar la vulnerabilidad, ya que se necesita menos esfuerzo para modificar una PoC que para crear una explotación desde cero.
No está claro si el PoC precise de Joshua Drake puede convertirse en un arma en una explotación en toda regla, ya que solo muestra que la explotación es posible sin probarla.
Sin embargo, esta ejecución remota de código en Microsoft Phrase es muy codiciada y permitiría la distribución a gran escala de malware por correo electrónico.
Una vulnerabilidad related en el editor de ecuaciones de Microsoft Excel ha sido reparada hace mucho tiempo y es todavía se usa hoy en algunas campañas.
Las soluciones alternativas podrían resultar contraproducentes
Una lista completa de los productos de Microsoft Workplace afectados por la vulnerabilidad está disponible en el sitio internet del proveedor. aviso para CVE-2023-21716.
Para los usuarios que no pueden aplicar la solución, Microsoft recomienda leer los correos electrónicos en formato de texto sin formato, algo que es poco possible que se adopte debido a los inconvenientes resultantes (falta de imágenes y contenido enriquecido).
Otra solución es habilitar la política de bloqueo de archivos de Microsoft Workplace, que evita que las aplicaciones de Workplace abran documentos RTF de origen desconocido o que no sea de confianza.
Este método requiere modificar el Registro de Home windows y también viene con una advertencia: “si usa el Editor del Registro incorrectamente, puede causar problemas graves que pueden requerir que reinstale su sistema operativo”.
Además, si un “directorio exento” no se ha configurado, los usuarios corren el riesgo de no poder abrir ningún documento RTF.
Incluso si un exploit completo no está disponible actualmente y solo es teórico, instalar la actualización de seguridad de Microsoft sigue siendo la forma más segura de lidiar con la vulnerabilidad.
