La vulnerabilidad crítica de Microsoft Word identificada como CVE-2023-21716 con puntuación CVSS de 9.8, podría permitir a un atacante la ejecución remota de código.
Esta vulnerabilidad fue abordada en las actualizaciones de seguridad del martes de parches (Patch Tuesday) de febrero. Sin embargo, recientemente el investigador Joshua J. Drake ha revelado una prueba de concepto.
El componente vulnerable está vinculado a la pila de red (network stack), dicha vulnerabilidad a menudo se denomina ‘explotable de forma remota’ y puede considerarse como un ataque explotable a nivel de protocolo a uno o más saltos de red (por ejemplo, a través de uno o más enrutadores).
La complejidad del ataque es baja, no existen condiciones especiales de acceso ni circunstancias atenuantes. El atacante no necesita estar autorizado antes del ataque y, por lo tanto, no requiere ningún acceso a la configuración o los archivos para llevar a cabo un ataque. El sistema vulnerable puede ser explotado con interacción mínima o sin ninguna interacción por parte del usuario.
La vulnerabilidad radica en el analizador RTF en Microsoft Word, que contiene una vulnerabilidad de corrupción de montón (heap corruption) cuando se trata de una tabla de fuentes (*\fonttbl*) que contiene una cantidad excesiva de fuentes (*\f###*).
Hay un procesamiento adicional después de que ocurre la corrupción de la memoria, los atacantes podrían explotar esta escritura de memoria fuera de los límites para ejecutar código arbitrario con los privilegios de la víctima que abre el documento RTF malicioso.
Para aprovechar esta vulnerabilidad, un atacante podría entregar un archivo RTF malicioso como un archivo adjunto de correo electrónico o por otros medios. Cuando la víctima abre el archivo, se activa la vulnerabilidad y el atacante puede ejecutar código arbitrario con los mismos privilegios que la víctima, lo que potencialmente le permite tomar el control del sistema informático de la víctima.
Versiones afectadas
Esta vulnerabilidad afecta al menos a las siguientes versiones de Microsoft Office:
- Microsoft Office 365 (Vista previa de Insider – 2211 Build 15831.20122 CTR)
- Microsoft Office 2016 (incluido Insider Slow – 1704 Build 8067.2032 CTR)
- Microsoft Office 2013
- Microsoft Office 2010
- Microsoft Office 2007
Las versiones anteriores también pueden verse afectadas, pero no se probaron. Microsoft Office 2010 y versiones posteriores utilizan Vista protegida para limitar los daños causados por documentos maliciosos obtenidos de fuentes no confiables.
Por el momento, no hay indicios de que la vulnerabilidad se esté explotando, sin embargo, las vulnerabilidades críticas como esta llaman la atención de los actores de amenazas y los más avanzados intentan aplicar ingeniería inversa a la solución para encontrar una manera de aprovecharla.
Recomendaciones
- Aplicar el parche lo antes posible para protegerse de esta vulnerabilidad.
- Tener cuidado al abrir archivos adjuntos de correo electrónico o descargar archivos de Internet, especialmente si no están familiarizados con el remitente o la fuente del archivo.
Referencias