Deze liveblog bevat informatie over de Microsoft Word RCE kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 7 maart 2023.
Update 7 maart 2023
18:30 | Op 14 februari 2023 publiceerde Microsoft de Patch Tuesday updates waarin CVE-2023-21716 wordt beschreven. Deze kwetsbaarheid is een heap corruptie kwetsbaarheid in de RTF-parser van Microsoft Word. Wanneer deze wordt uitgebuit, kan een niet-geautoriseerde aanvaller willekeurige code uitvoeren met de rechten van het slachtoffer.
De kwetsbaarheid kan worden uitgebuit door een email met bijlage te sturen. Wanneer het slachtoffer het document opent of een preview weergeeft, in bijvoorbeeld Microsoft Outlook, wordt de code van de aanvaller uitgevoerd.
Op 5 maart 2023 is een proof-of-concept exploit gepubliceerd. Microsoft heeft patches en een aantal workarounds gepubliceerd. Het advies is om mitigerende maatregelen door te voeren.
Aanleiding en achtergrond van deze blog
Deze blog bevat informatie over kwetsbaarheden, het mogelijke risico en advies om schade te voorkomen of beperken. Onderstaand staan de mogelijke risico’s, details en achtergrondinformatie.
Kwetsbaarheid informatie
Op 14 februari 2023 publiceerde Microsoft de Patch Tuesday updates waarin CVE-2023-21716 wordt beschreven. Deze kwetsbaarheid is een heap corruptie kwetsbaarheid in de RTF-parser van Microsoft Word. Wanneer deze wordt uitgebuit, kan een niet-geautoriseerde aanvaller willekeurige code uitvoeren met de rechten van het slachtoffer.
Op 5 maart 2023 is een proof-of-concept exploit gepubliceerd. Microsoft heeft patches en een aantal workarounds gepubliceerd. Het advies is om mitigerende maatregelen door te voeren.
Mogelijke risico’s
De kwetsbaarheid CVE-2023-21716 heeft een CVSSv3-score van 9,8. De CVSS-schaal loopt van 0 tot 10. Een score van 9,8 of hoger is zeldzaam en impliceert een hoog risico op uitbuiting met een grote impact. De kwetsbaarheid CVE-2023-21716 is een heap corruption kwetsbaarheid in de RTF-parser van Microsoft Word, waardoor een niet-geautoriseerde aanvaller willekeurige code kan uitvoeren met de rechten van het slachtoffer. Gebruikers hoeven geen kwaadaardig RTF-document te openen. Het simpelweg laden van het bestand in het Preview Plane van bijvoorbeeld Microsoft Outlook is voldoende om het systeem te compromitteren.
Volgens Microsoft zijn er geen aanwijzingen dat de kwetsbaarheid actief wordt misbruikt. Echter, nu publiek exploit code beschikbaar is, is het aannemelijk dat dit verandert.
Detail informatie
De kwetsbaarheid bevindt zich in de volgende producten:
- Microsoft 365 Apps voor de Enterprise 32-bit en 64-bit edities
- Microsoft Office
- Office 2019
- Office LTSC 2021
- Office Online Server
- Office Web Apps Server 2013 Service Pack 1
- Microsoft Word
- Word 2013
- RT SP1, SP1 32-bit en de SP1 64-bit edities
- Word 2016
- Word 2013
- Microsoft SharePoint
- Enterprise Server 2013 Service Pack 1
- Enterprise Server 2016
- Foundation 2013 Service Pack 1
- Server 2019
- Server Subscription Edition
- Server Subscription Edition Language Pack
Microsoft heeft patches en een aantal workarounds gepubliceerd. Het advies is om deze mitigerende maatregelen door te voeren.
Het advies is om de workaround van Microsoft toe te passen wanneer het toepassen van de patch niet mogelijk is: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716.
Bronnen
Meer informatie:
- Microsoft update-guide: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716
- NCSC Advisory: https://www.ncsc.nl/actueel/advisory?id=NCSC-2023-0080
- Publieke exploit: https://qoop.org/publications/cve-2023-21716-rtf-fonttbl.md
Aanmelden
Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates
Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.