Une preuve de concept pour CVE-2023-21716, une vulnérabilité critique dans Microsoft Word qui permet l’exécution de code à distance, a été publiée au cours du week-end.
La vulnérabilité s’est vue attribuer un score de gravité de 9,8 sur 10, Microsoft l’abordant dans les mises à jour de sécurité de février Patch Tuesday ainsi que quelques solutions de contournement.
Le score de gravité est principalement donné par la faible complexité de l’attaque couplée au manque de privilèges et d’interaction utilisateur requis pour l’exploiter.
PoC de la taille d’un tweet
L’année dernière, le chercheur en sécurité Joshua Drake a découvert la vulnérabilité dans « wwlib.dll » de Microsoft Office et a envoyé à Microsoft un avis technique contenant un code de preuve de concept (PoC) montrant que le problème est exploitable.
Un attaquant distant pourrait potentiellement profiter du problème pour exécuter du code avec les mêmes privilèges que la victime qui ouvre un document .RTF malveillant.
La livraison du fichier malveillant à une victime peut être aussi simple qu’une pièce jointe à un e-mail, bien qu’il existe de nombreuses autres méthodes.
Microsoft avertit que les utilisateurs n’ont pas à ouvrir un document RTF malveillant et qu’il suffit de charger le fichier dans le volet de prévisualisation pour que la compromission commence.
Le chercheur explique que l’analyseur RTF de Microsoft Word présente une vulnérabilité de corruption de tas qui se déclenche « lorsqu’il s’agit d’une table de polices (\fonttbl) contenant un nombre excessif de polices (\f###) ».
Drake dit qu’il y a un traitement supplémentaire après la corruption de la mémoire et qu’un acteur malveillant pourrait exploiter le bogue pour l’exécution de code arbitraire en utilisant « une disposition de tas correctement conçue ».
Le PoC du chercheur montre le problème de corruption de tas mais s’arrête avant de lancer l’application Calculatrice dans Windows, pour démontrer l’exécution du code.
Au départ, le PoC comportait un peu plus d’une dizaine de lignes, commentaires compris. Depuis le rapport envoyé à Microsoft en novembre 2022, le chercheur a élagué quelques lignes et a réussi à tout caser dans un tweet :
source : Joshua Drake
Pour le moment, rien n’indique que la vulnérabilité soit exploitée à l’état sauvage et l’évaluation actuelle de Microsoft est que tirer parti du problème est « moins probable ».
Des vulnérabilités critiques comme celle-ci attirent l’attention des acteurs de la menace, les plus avancés essayant de désosser le correctif pour trouver un moyen de l’exploiter.
En règle générale, lorsque le code d’exploitation devient disponible, un groupe plus important d’attaquants commence à utiliser la vulnérabilité, car moins d’efforts sont nécessaires pour modifier un PoC que pour créer un exploit à partir de zéro.
Il n’est pas clair si le PoC actuel de Joshua Drake peut être transformé en un exploit à part entière, car il montre seulement que l’exploitation est possible sans le prouver.
Cependant, cette exécution de code à distance dans Microsoft Word est très convoitée et permettrait une diffusion à grande échelle de logiciels malveillants par courrier électronique.
Une vulnérabilité similaire dans l’éditeur d’équations Microsoft Excel a depuis longtemps été corrigée et est encore utilisée aujourd’hui dans certaines campagnes.
Les solutions de contournement pourraient se retourner contre vous
Une liste complète des produits Microsoft Office concernés par la vulnérabilité est disponible dans l’avis du fournisseur pour CVE-2023-21716.
Pour les utilisateurs qui ne peuvent pas appliquer le correctif, Microsoft recommande de lire les e-mails au format texte brut, ce qui est peu susceptible d’être adopté en raison des inconvénients qui en résultent (manque d’images et de contenu riche).
Une autre solution consiste à activer la stratégie Microsoft Office File Block, qui empêche les applications Office d’ouvrir des documents RTF d’origine inconnue ou non fiable.
Cette méthode nécessite la modification du registre Windows et s’accompagne également d’une mise en garde : « si vous n’utilisez pas correctement l’Éditeur du Registre, vous risquez de causer de graves problèmes pouvant vous obliger à réinstaller votre système d’exploitation ».
De plus, si un «répertoire exempté» n’a pas été défini, les utilisateurs courent le risque de ne pouvoir ouvrir aucun document RTF.
Même si un exploit complet est actuellement indisponible et seulement théorique, l’installation de la mise à jour de sécurité de Microsoft reste le moyen le plus sûr de traiter la vulnérabilité.