【风险预警】警惕利用 Microsoft Word 远程代码执行漏洞的钓鱼攻击

 原文来源：    网络安全110                 广东省网络安全应急响应中心

 源文链接：https://mp.weixin.qq.com/s?__biz=MzUzNTI2MzU0OQ==&mid=2247496984&idx=1&sn=41d5df0e422e3e6af5fe1bf6f3d9dd42&chksm=fa8a954acdfd1c5c9a4f33d22392f088b69cc2e802cac19d431ddedb411c2def9d257ac4baca&mpshare=1&scene=1&srcid=0309I3ZLzVPe8bcBtObJzLLU&sharer_sharetime=1678357694341&sharer_shareid=57ac9e5fd2b1d4b552f4a200ba0b7154&notreplace=true&version=4.1.0.6011&platform=win#rd

 概    述   

       我中心技术支撑单位“深圳网安检测”近日监测到 Microsoft Word 远程代码执行漏洞（CVE-2023-21716）的安全公告，该漏洞是由于 Word 组件中的 RTF 解析器在解析字体表的时候存在堆损坏漏洞，致使攻击者可以制作恶意 RTF 文件，通过邮件、即时消息等社会工程学方式诱导用户下载特制文档，成功利用此漏洞可在目标系统上以该用户权限执行代码，获取主机控制权。鉴于该漏洞的利用方式，或将引发一波社工钓鱼风险。

                                                                风险详情   

      Microsoft Word 是美国微软公司开发的办公软件（Microsoft Office）套件里的一个文字处理应用程序，作为全球流行的办公软件，其在国内各行业应用广泛，拥有大量用户群体。据悉，该漏洞被披露至少存在了14年，影响 Office 套件、Word 众多历史版本和服务器版本。目前漏洞利用 PoC 已公布，验证过程中不必打开有效负载，在预览窗格中即可加载恶意 RTF 文件成功利用，漏洞利用复杂性较低。从事商业、教育、医疗、金融、进出口贸易行业的工作者等广大 Office 用户需警惕后缀为 .RTF 的文件，不排除黑客会利用该漏洞发起恶意邮件等社会工程学钓鱼攻击的可能性，建议尽快更新安全补丁以防遭受黑客透过该漏洞入侵单位内部网络造成勒索攻击或窃取敏感数据。

 漏洞详情   

由于 Word 组件中的 RTF 解析器在解析字体表的时候存在堆损坏漏洞，攻击者可以制作包含过多字体表项的RTF文件，并诱导用户打开来利用此漏洞。

漏洞名称：Microsoft Word 远程代码执行漏洞

漏洞编号：CVE-2023-21716

危害等级：高 

      影响范围   

受影响版本

· SharePoint Server Subscription Edition Language Pack

· Microsoft 365 Apps for Enterprise for 32-bit Systems

· Microsoft Office LTSC 2021 for 64-bit editions

· Microsoft SharePoint Server Subscription Edition

· Microsoft Office LTSC 2021 for 32-bit editions

· Microsoft Office LTSC for Mac 2021

· Microsoft Word 2013 Service Pack 1 (64-bit editions)

· Microsoft Word 2013 RT Service Pack 1

· Microsoft Word 2013 Service Pack 1 (32-bit editions)

· Microsoft SharePoint Foundation 2013 Service Pack 1

· Microsoft Office Web Apps Server 2013 Service Pack 1

· Microsoft Word 2016 (32-bit edition)

· Microsoft Word 2016 (64-bit edition)

· Microsoft SharePoint Server 2019

· Microsoft SharePoint Enterprise Server 2013 Service Pack 1

· Microsoft SharePoint Enterprise Server 2016

· Microsoft 365 Apps for Enterprise for 64-bit Systems

· Microsoft Office 2019 for Mac

· Microsoft Office Online Server

      解决方案   

修补建议

目前官方已发布安全补丁更新，用户可结合自身情况通过以下两种途径更新。

1、安装补丁：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716

2、升级更新：

打开 Office 应用，点击“文件”->“账户”->“Office 更新”->“立即更新”可以更新到最新版本。

防范建议

社会工程学攻击主要通过邮件、社交平台、短信、电话等方式联络目标用户进行钓鱼攻击，不法分子将其身份伪装成银行、学校、软件公司、物流、商业合作方或政府机构等可信服务提供者制作恶意附件诱导目标用户开启，进而侵入其网络。请牢记以下6条防范建议规避风险：

1. 保持警惕性。不轻信来自不熟悉的人或机构的信息，尤其是不明来源的邮件、信息或电话等。

2. 检查邮件和链接。在点击链接、下载文件或回复电子邮件之前，始终先仔细检查邮件内容和链接，确保是安全的。不要随意打开陌生的邮件附件。

3. 使用强密码。使用包含字母、数字和符号的复杂密码，并定期更改密码，不要使用与其他帐户相同的密码。

4. 加强防范意识。组织员工了解不同类型的钓鱼和社会工程攻击，并了解如何识别和防范此类攻击。

5. 更新安全软件。定期更新防病毒软件和系统安全补丁，以确保能够识别和防范最新的威胁。

6. 不使用公共 Wi-Fi。避免使用公共 Wi-Fi访问企业内网，尽可能使用 VPN 等安全的连接方式，以避免敏感信息被截获。

参考链接：

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716

[2]https://www.bleepingcomputer.com/news/security/proof-of-concept-released-for-critical-microsoft-word-rce-bug/