Исследователь и эксперт по информационной безопасности Джошуа Дрейк в одном твите уместил код PoC-эксплойта для критической Remote Code Execution (RCE) — это критическая уязвимость, которая позволяет злоумышленнику дистанционно запустить вредоносный код в целевой системе по локальной сети или через Интернет. При этом физический доступ к устройству не требуется.
В результате эксплуатации RCE-уязвимости киберпреступник может перехватить управление системой или ее отдельными компонентами, а также похитить конфиденциальные данные.
» data-html=»true» data-original-title=»RCE»>RCE-уязвимости в Microsoft Word.
RCE-уязвимость CVE-2023-21716 была исправлена в феврале и позволяет злоумышленнику добиться удаленного выполнения кода без предварительной аутентификации – хакер может просто отправить вредоносный RTF-файл жертве по электронной почте.
Дрейк первым обнаружил уязвимость в работе библиотеки «wwlib.dll» офисного пакета Office и сообщил о ней в подробном отчёте в Microsoft.
Согласно отчёту Дрейка, в версии RTF-парсера до февраля 2023 года в Microsoft Word был баг, связанный с повреждением кучи (хипа), который можно было вызвать «при работе с таблицей шрифтов (*\fonttbl*), содержащей чрезмерное количество шрифтов (*\f###*)».
В этом случае после запуска специального механизма переполнения кучи в системе происходила дополнительная обработка памяти, а киберпреступник мог использовать этот момент для выполнения произвольного кода в системе путём создания нужной структуры кучи.
Полная версия эксплоита состояла из 10 строк кода, включая комментарии. Но чтобы как можно больше системных администраторов обратили внимание на эту проблему и исправили уязвимые системы, исследователь уменьшил код эксплойта до одного твита.
Профильные эксперты выложили на GitHub инструмент для обнаружения попыток эксплуатации эксплойта Дрейка в неисправленных системах.