Proof-of-concept untuk CVE-2023-21716, kerentanan kritis di Microsoft Word yang memungkinkan eksekusi kode jarak jauh, telah diterbitkan akhir pekan lalu.
Kerentanan diberi skor 9,8 dari 10 tingkat keparahan, dengan Microsoft mengatasinya dalam pembaruan keamanan Patch Selasa Februari bersama dengan beberapa solusi.
Skor keparahan terutama diberikan oleh kompleksitas serangan yang rendah ditambah dengan kurangnya hak istimewa dan interaksi pengguna yang diperlukan untuk mengeksploitasinya.
PoC berukuran Tweet
Peneliti keamanan Joshua Drake tahun lalu menemukan kerentanan di “wwlib.dll” Microsoft Office dan mengirim Microsoft penasihat teknis yang berisi kode proof-of-concept (PoC) yang menunjukkan bahwa masalah tersebut dapat dieksploitasi.
Penyerang jarak jauh berpotensi memanfaatkan masalah ini untuk mengeksekusi kode dengan hak istimewa yang sama dengan korban yang membuka dokumen .RTF berbahaya.
Mengirimkan file jahat ke korban bisa semudah lampiran ke email, meskipun ada banyak metode lain.
Microsoft memperingatkan bahwa pengguna tidak perlu membuka dokumen RTF berbahaya dan cukup memuat file di Panel Pratinjau sudah cukup untuk memulai kompromi.
Peneliti menjelaskan bahwa pengurai RTF di Microsoft Word memiliki kerentanan kerusakan heap yang dipicu “ketika berhadapan dengan tabel font (*\fonttbl*) yang berisi font dalam jumlah berlebihan (*\f###*).”
Drake mengatakan bahwa ada pemrosesan tambahan setelah kerusakan memori terjadi dan pelaku ancaman dapat memanfaatkan bug untuk eksekusi kode arbitrer dengan menggunakan “tata letak tumpukan yang dibuat dengan benar”.
PoC dari peneliti menunjukkan masalah korupsi tumpukan tetapi berhenti meluncurkan aplikasi Kalkulator di Windows, untuk menunjukkan eksekusi kode.
Awalnya, PoC memiliki lebih dari selusin baris, termasuk komentar. Sejak laporan dikirim ke Microsoft pada November 2022, peneliti memangkas beberapa baris dan berhasil memasukkan semuanya ke dalam tweet:
Saat ini tidak ada indikasi bahwa kerentanan sedang dieksploitasi secara liar dan penilaian Microsoft saat ini adalah bahwa mengambil keuntungan dari masalah ini “kecil kemungkinannya”.
Kerentanan kritis seperti ini menarik perhatian pelaku ancaman, dengan yang lebih maju mencoba merekayasa balik perbaikan untuk menemukan cara memanfaatkannya.
Biasanya, ketika kode eksploitasi tersedia, kumpulan penyerang yang lebih besar mulai menggunakan kerentanan karena lebih sedikit upaya yang diperlukan untuk memodifikasi PoC daripada membuat eksploitasi dari awal.
Tidak jelas apakah PoC saat ini dari Joshua Drake dapat dipersenjatai menjadi eksploitasi besar-besaran karena hanya menunjukkan kemungkinan eksploitasi tanpa membuktikannya.
Namun, eksekusi kode jarak jauh di Microsoft Word ini sangat didambakan dan akan memungkinkan penyebaran malware dalam skala luas melalui email.
Kerentanan serupa di Editor Persamaan Microsoft Excel telah lama ditambal, dan sekarang masih digunakan sampai sekarang dalam beberapa kampanye.
Solusi bisa menjadi bumerang
Daftar lengkap produk Microsoft Office yang terkena dampak kerentanan tersedia di vendor penasehat untuk CVE-2023-21716.
Untuk pengguna yang tidak dapat menerapkan perbaikan, Microsoft merekomendasikan membaca email dalam format teks biasa, sesuatu yang tidak mungkin diadopsi karena ketidaknyamanan yang dihasilkan (kurangnya gambar dan konten yang kaya).
Solusi lain adalah mengaktifkan kebijakan Blok Berkas Microsoft Office, yang mencegah aplikasi Office membuka dokumen RTF yang asalnya tidak diketahui atau tidak dipercaya.
Metode ini memerlukan modifikasi Registri Windows dan juga dilengkapi dengan peringatan: “jika Anda menggunakan Peninjau Registri secara tidak benar, Anda dapat menyebabkan masalah serius yang mengharuskan Anda menginstal ulang sistem operasi Anda.”
Selain itu, jika “direktori yang dikecualikan” belum disetel, pengguna berisiko tidak dapat membuka dokumen RTF apa pun.
Bahkan jika eksploit lengkap saat ini tidak tersedia dan hanya teoretis, menginstal pembaruan keamanan dari Microsoft tetap merupakan cara teraman untuk mengatasi kerentanan.
