Microsoft Word 远程代码执行漏洞（CVE-2023-21716）

2023-03-07

TAG：	Microsoft Word、CVE-2023-21716
漏洞危害：	攻击者利用此漏洞可实现任意代码执行
版本：	1.0

1

漏洞概述

近日，绿盟科技CERT监测发现网上公开披露了Microsoft Word 远程执行代码漏洞（CVE-2023-21716）的PoC。由于Microsoft Word中的RTF解析器在处理包含过多字体 (*\f###*) 的字体表 (*\fonttbl *)时会触发堆损坏漏洞，攻击者可通过发送包含RTF有效负载的恶意电子邮件等方式利用该漏洞，当成功诱导用户在受影响的系统打开特制文件后，无需身份验证的攻击者可实现在目标系统上执行任意代码，且预览窗格也可作为该漏洞的攻击媒介。CVSS评分为9.8，请受影响的用户尽快采取措施进行防护。

目前绿盟科技研究员已成功验证PoC的可利用性：


参考链接：https://msrc.microsoft.com/updat ... lity/CVE-2023-21716

SEE MORE →


2影响范围

受影响版本

• 
  Microsoft 365 Apps for Enterprise for 32-bit Systems
• 
  Microsoft 365 Apps for Enterprise for 64-bit Systems
• 
  Microsoft Office 2019 for 32-bit editions
• 
  Microsoft Office 2019 for 64-bit editions
• 
  Microsoft Office 2019 for Mac
• 
  Microsoft Office LTSC 2021 for 32-bit editions
• 
  Microsoft Office LTSC 2021 for 64-bit editions
• 
  Microsoft Office LTSC for Mac 2021
• 
  Microsoft Office Online Server
• 
  Microsoft Office Web Apps Server 2013 Service Pack 1
• 
  Microsoft SharePoint Enterprise Server 2013 Service Pack 1
• 
  Microsoft SharePoint Enterprise Server 2016
• 
  Microsoft SharePoint Foundation 2013 Service Pack 1
• 
  Microsoft SharePoint Server 2019
• 
  Microsoft SharePoint Server Subscription Edition
• 
  Microsoft Word 2013 RT Service Pack 1
• 
  Microsoft Word 2013 Service Pack 1 (32-bit editions)
• 
  Microsoft Word 2013 Service Pack 1 (64-bit editions)
• 
  Microsoft Word 2016 (32-bit edition)
• 
  Microsoft Word 2016 (64-bit edition)
• 
  SharePoint Server Subscription Edition Language Pack
  

3漏洞防护

3.1 官方升级

目前微软官方已针对受支持的产品版本发布了修复该漏洞的安全补丁，建议受影响用户开启系统自动更新安装补丁进行防护。

注：由于网络问题、计算机环境问题等原因，Windows Update的补丁更新可能出现失败。用户在安装补丁后，应及时检查补丁是否成功更新。右键点击Windows徽标，选择“设置(N)”，选择“更新和安全”-“Windows更新”，查看该页面上的提示信息，也可点击“查看更新历史记录”查看历史更新情况。

针对未成功安装更新补丁的情况，可直接下载离线安装包进行更新，链接如下：https://msrc.microsoft.com/updat ... lity/CVE-2023-21716

3.2 手动更新

1、打开Office应用，并创建文档。

2、点击“文件”>“账户”，在产品信息中点击“更新选项”>“立即更新”



3、为确保成功更新Office应用，请用户再次点击“立即更新”进行检查更新，若出现以下内容则说明应用已更新至最新状态。



3.3 临时缓解措施

若受影响用户无法进行正常升级，则可通过以下操作来规避此漏洞：

1、使用Microsoft Outlook以纯文本阅读电子邮件的方式来降低用户打开未知或不受信任来源的RTF文件的风险。配置Microsoft Outlook以纯文本形式阅读邮件指南可参考：

https://support.microsoft.com/en-us/office/change-the-message-format-to-html-rich-text-format-or-plain-text-338a389d-11da-47fe-b693-cf41f792fefa?ui=en-us&rs=en-us&ad=us

2、使用Microsoft Office文件阻止策略来防止Office打开来自未知或不受信任来源的RTF文档。需要注意的是，已配置文件阻止策略但未配置特殊“豁免目录”的用户将无法打开以RTF格式保存的文档。详见：

https://learn.microsoft.com/en-us/office/troubleshoot/settings/file-blocked-in-office。

注意：该方法需要修改注册表编辑器，如未正确使用将会导致严重问题，可能需要重新安装操作系统。

Office 2013
1）以管理员身份运行regedit.exe并导航到以下子项：

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock]

2）将RtfFiles DWORD值设置为2。3）将OpenInProtectedView DWORD值设置为0。Office 2016/2019/20211）以管理员身份运行regedit.exe并导航到以下子项：

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]

2）将RtfFiles DWORD值设置为2。3）将OpenInProtectedView DWORD值设置为0。如果想撤销以上缓解措施，可执行以下操作：
Office 2013

1）以管理员身份运行regedit.exe并导航到以下子项：

[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock]

2）将RtfFiles DWORD值设置为0。3）将OpenInProtectedView DWORD值设置为0。
Office 2016/2019/2021
1）以管理员身份运行regedit.exe并导航到以下子项：

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]

2）将RtfFiles DWORD值设置为0。3）将OpenInProtectedView DWORD值设置为0。