PoC untuk CVE-2023-21716, kerentanan kritis di Microsoft Word yang memungkinkan eksekusi kode jarak jauh, telah diterbitkan selama akhir pekan. Kerentanan diberi skor keparahan 9,8 dari 10, dengan Microsoft mengatasinya dalam pembaruan keamanan Patch Tuesday Februari bersama dengan beberapa solusi. Skor keparahan terutama diberikan oleh kompleksitas serangan yang rendah ditambah dengan kurangnya hak istimewa dan interaksi pengguna yang diperlukan untuk mengeksploitasinya.
.
.
Peneliti keamanan Joshua Drake tahun lalu menemukan kerentanan dalam "wwlib.dll" Microsoft Office dan mengirimi Microsoft penasihat teknis yang berisi kode proof-of-concept (PoC) yang menunjukkan masalah tersebut dapat dieksploitasi. Penyerang jarak jauh berpotensi memanfaatkan masalah ini untuk mengeksekusi kode dengan hak istimewa yang sama dengan korban yang membuka file . Dokumen RTF. Mengirimkan file berbahaya ke korban bisa semudah lampiran ke email, meskipun ada banyak metode lain. Microsoft memperingatkan bahwa pengguna tidak perlu membuka dokumen RTF berbahaya dan cukup memuat file di Panel Pratinjau sudah cukup untuk memulai kompromi. Peneliti menjelaskan bahwa parser RTF di Microsoft Word memiliki kerentanan korupsi tumpukan yang dipicu "ketika berhadapan dengan tabel font (*\fonttbl*) yang berisi jumlah font yang berlebihan (*\f###*)." Drake mengatakan bahwa ada pemrosesan tambahan setelah kerusakan memori terjadi dan aktor ancaman dapat memanfaatkan bug untuk eksekusi kode arbitrer dengan menggunakan "tata letak tumpukan yang dibuat dengan benar." PoC dari peneliti menunjukkan masalah korupsi tumpukan tetapi berhenti untuk meluncurkan aplikasi Kalkulator di Windows, untuk mendemonstrasikan eksekusi kode. Awalnya, PoC memiliki sedikit lebih dari selusin baris, termasuk komentar. Sejak laporan dikirim ke Microsoft pada November 2022, peneliti memangkas beberapa baris dan berhasil memasukkan semuanya ke dalam tweetnya.
.
Saat ini tidak ada indikasi bahwa kerentanan sedang dieksploitasi di alam liar dan penilaian Microsoft saat ini adalah bahwa mengambil keuntungan dari masalah ini "lebih kecil kemungkinannya."Kerentanan kritis seperti ini menarik perhatian aktor ancaman, dengan yang lebih maju mencoba merekayasa balik perbaikan untuk menemukan cara untuk memanfaatkannya. Biasanya, ketika kode eksploitasi tersedia, kumpulan penyerang yang lebih besar mulai menggunakan kerentanan karena lebih sedikit upaya yang diperlukan untuk memodifikasi PoC daripada menghasilkan eksploitasi dari awal. Tidak jelas apakah PoC saat ini dari Joshua Drake dapat dipersenjatai menjadi eksploitasi besar-besaran karena hanya menunjukkan eksploitasi yang mungkin terjadi tanpa membuktikannya. Namun, eksekusi kode jarak jauh di Microsoft Word ini sangat didambakan dan akan memungkinkan distribusi malware skala luas melalui email. Kerentanan serupa di Microsoft Excel Equation Editor telah lama ditambal, dan masih digunakan sampai sekarang di beberapa kampanye.
.
Saat ini tidak ada indikasi bahwa kerentanan sedang dieksploitasi di alam liar dan penilaian Microsoft saat ini adalah bahwa mengambil keuntungan dari masalah ini "lebih kecil kemungkinannya."Kerentanan kritis seperti ini menarik perhatian aktor ancaman, dengan yang lebih maju mencoba merekayasa balik perbaikan untuk menemukan cara untuk memanfaatkannya. Biasanya, ketika kode eksploitasi tersedia, kumpulan penyerang yang lebih besar mulai menggunakan kerentanan karena lebih sedikit upaya yang diperlukan untuk memodifikasi PoC daripada menghasilkan eksploitasi dari awal. Tidak jelas apakah PoC saat ini dari Joshua Drake dapat dipersenjatai menjadi eksploitasi besar-besaran karena hanya menunjukkan eksploitasi yang mungkin terjadi tanpa membuktikannya. Namun, eksekusi kode jarak jauh di Microsoft Word ini sangat didambakan dan akan memungkinkan distribusi malware skala luas melalui email. Kerentanan serupa di Microsoft Excel Equation Editor telah lama ditambal, dan masih digunakan sampai sekarang di beberapa kampanye.
