Nous suivre

Vulnérabilité dans Microsoft Word avec code d'exploitation public

CVE-2023-21716

Le week-end dernier, un exploit Proof-of-Concept a été mis en ligne pour la vulnérabilité CVE-2023-21716 qui affecte Microsoft Word. En exploitant cette faille de sécurité, un attaquant peut effectuer une exécution de code à distance.

La vulnérabilité

Cette vulnérabilité est relativement simple à exploiter, qui plus est à distance et sans interaction de l'utilisateur. De ce fait, elle hérite d'un score CVSS de 9.8 sur 10 ! À ce sujet, Microsoft précise : "Un attaquant non authentifié pourrait envoyer un e-mail malveillant contenant une charge utile RTF lui permettant d’exécuter des commandes dans l’application qui sert à ouvrir le fichier malveillant.", en faisant référence au format de fichier RTF, et tout en sachant que cela s'applique si l'on prévisualise le contenu d'un fichier RTF malveillant.

La vulnérabilité a été corrigée dans le bulletin de sécurité de Microsoft de février 2023 mais cela ne fait que 3 semaines et il n’est pas sûr que tout le monde ait bien déployé le bulletin.

Il s’agit d’un dépassement de tampon du tas à partir d’un fichier RTF (vieux format de document) dans la librairie wwlib en précisant 32761 fois que l’on utilise de 1 à 32761 polices de caractères (1, 2, … 32761).

Code d'exploitation

Des codes d’exploitation publics existe ici :

https://qoop.org/publications/cve-2023-21716-rtf-fonttbl.md

https://web.archive.org/web/*/https://qoop.org/publications/cve-2023-21716-rtf-fonttbl.md

Cette vulnérabilité est exploitable même en mode protégé (« protected view ») c’est-à-dire dans la prévisualisation d’Outlook par exemple ou celle de Word censée protéger des exécutions de scripts et macros.

Le scénario d’exploitation le plus probable me semble être l’envoie simple d’un mail avec une pièce jointe piégée permettant la prise de contrôle de l’ordinateur de la victime en cas de visualisation depuis un client mail lourd (comme Outlook) ou directement depuis Word.

Que faire

Pensez à bien vérifier que la dernière mise à jour de sécurité d’Office a bien été déployée :

- Sous Windows : [menu démarrer] > check for update > bouton [check for updates]
- Sous macOS : allez dans l’App Store et vérifier que la dernière mise à jour a été appliquée pour Office et Word


 

Ivanti (Pulse), Joomla et GitLab : vulnérabilités activement exploitées
Une année qui démarre malheureusement avec plusieurs vulnérabilités critiques activement exploitées