Documenti in formato RTF possono eseguire codice dannoso. Anche con una semplice anteprima

In occasione del patch day Microsoft di febbraio 2023, tra i tanti aggiornamenti di sicurezza che l’azienda di Redmond ha rilasciato ve n’è uno che abbiamo messo in evidenza e che interessa utenti privati, professionisti e aziende.

Si tratta di una lacuna di sicurezza a elevata criticità perché a fronte di un impegno ridottissimo per sfruttarla, il suo utilizzo ai fini di un attacco informatico porta all’esecuzione di codice dannoso, anche in modalità remota.
Alla gravità della problematica erano già stati assegnati 9,8 punti su un massimo di 10, a conferma di quanto fosse preoccupante la scoperta del bug correlato. Oggi però il quadro si fa più scuro perché è stato pubblicato in rete il codice Proof-of-Concept (PoC) che dimostra come sia possibile abusare all’atto pratico della vulnerabilità in questione.

La falla di sicurezza contraddistinta con l’identificativo CVE-2023-21716 interessa gli utenti di tutte le versioni di Office ad oggi supportate e i componenti che sono basati sul motore utilizzato da Microsoft Word per la visualizzazione dei documenti.
Microsoft cita come vulnerabili Office LTSC 2021, Office LTSC per Mac 2021, Office 2019, Office 2019 per Mac, Office 2013, Word 2016 ma anche SharePoint Foundation 2013, SharePoint Enterprise Server 2013, Office Web Apps Server 2013, SharePoint Enterprise Server 2016, SharePoint Server 2019, Microsoft 365 Apps per le aziende.

Il problema di sicurezza è sanabile attraverso l’installazione dell’aggiornamento distribuito attraverso Windows Update: il numero di Knowledge Base che contraddistingue anche la patch è diverso a seconda del software vulnerabile: suggeriamo di fare riferimento alla colonna Article nel documento Microsoft relativo alla vulnerabilità CVE-2023-21716).

Come funziona l’attacco e quali sono i rischi per gli utenti di Office: attenzione ai file RTF

Come più volte accaduto in passato, anche nel caso della falla CVE-2023-21716 il problema che porta all’esecuzione di codice arbitrario affonda le sue radici in una vulnerabilità in grado di provocare la corruzione dell’heap.

L’heap è una zona di memoria dinamica in cui un’applicazione alloca variabili e oggetti: il danneggiamento di quest’area può portare a gravi problemi di sicurezza, tra cui il crash del programma, l’esposizione di informazioni riservate e l’esecuzione di codice malevolo.

Nel caso di specie il ricercatore Joshua Drake, che ha segnalato e inviato a Microsoft tutte le informazioni tecniche sulla vulnerabilità da lui scoperta nella libreria wwlib.dll, racconta che è sufficiente creare un documento RTF contenente una tabella formata da un numero eccessivo di caratteri per arrivare a eseguire codice dannoso.
In suo tweet Drake ha pubblicato il codice PoC: le due righe di codice Python permettono di creare un file RTF che può essere sfruttato per eseguire operazioni del tutto arbitrarie quindi potenzialmente nocive.

È interessante notare che gli utenti con il pannello di anteprima abilitato in Esplora file possono attivare l’esecuzione del codice malevolo semplicemente cliccando una volta sul file RTF dannoso, anche senza aprirlo con Word.

Al momento non vi è alcuna indicazione che la vulnerabilità venga già sfruttata per attacchi nei confronti di privati e imprese. La semplicità con cui può avvenire l’aggressione, tuttavia, non può non invitare tutti a elevare la soglia di attenzione: l’installazione delle patch diventa a questo punto un’esigenza pressante.

L’applicazione delle patch di sicurezza Microsoft disponibili per i prodotti software in uso permettono di correggere il problema. In alternativa, l’azienda di Redmond suggerisce che è possibile bloccare completamente l’apertura dei file in formato RTF agendo sulla configurazione del registro di sistema di Windows.
Dopo aver aperto il prompt dei comandi con i diritti di amministratore, si può digitare quanto segue nel caso di Office 2016, 2019 e 2021:

reg add HKCU\Software\Microsoft\Office\16.0\Word\Security\FileBlock /v RtfFiles /t REG_DWORD /d 2 /f

reg add HKCU\Software\Microsoft\Office\16.0\Word\Security\FileBlock /v OpenInProtectedView /t REG_DWORD /d 0 /f

Per proteggere Office 2013 si deve sostituire 16.0 nei due comandi precedenti con 15.0.

Le modifiche hanno valore esclusivamente a livello di singolo account utente e non si applicano all’intera macchina Windows e quindi a tutti gli utenti ivi configurati.

Per annullare l’intervento basta digitare quanto segue:

reg add HKCU\Software\Microsoft\Office\16.0\Word\Security\FileBlock /v RtfFiles /t REG_DWORD /d 0 /f

reg add HKCU\Software\Microsoft\Office\15.0\Word\Security\FileBlock /v RtfFiles /t REG_DWORD /d 0 /f

Il primo comando si riferisce a Office 2016, 2019 e 2021; il secondo a Office 2013.