CVE-2023-36884 identificeert een zwakke plek in de verwerkingsketen van Microsoft Office-bestanden. Deze kwetsbaarheid maakt misbruik van de manier waarop Office-bestanden zoals Word (docx/docm), Excel (xlsx/xlsm) of PowerPoint (pptx/pptm) worden geïnitialiseerd en bepaalde elementen inladen.
Technische achtergrond
Wanneer een Office-document wordt opgestart, kunnen diverse elementen al worden ingeladen. Een voorbeeld hiervan is een extern sjabloon. CVE-2023-36884 echter, misbruikt de altChunk-structuur.
Het misbruik vindt plaats wanneer er tijdens het laden van het document een verwijzing naar een subdocument wordt ontdekt (meestal afChunk.rtf of altChunk.rtf, maar kan ook onder een andere naam voorkomen) en dit subdocument wordt vervolgens geladen. Dit proces is bedoeld om documenten gemakkelijk te kunnen samenvoegen, maar introduceert een risico. In het geval van CVE-2023-36884 bevat het subdocument kwaadaardige code die op het systeem wordt uitgevoerd. Een complicerende factor is dat het laden en uitvoeren van het subdocument onzichtbaar blijft voor de procesmanager.
Dit alles vindt plaats voordat het hoofddocument zelfs maar zichtbaar wordt voor de gebruiker, zelfs in de beveiligde weergave. Daardoor kan een aanvaller onopgemerkt toegang krijgen tot het systeem en controle over de hele computer verkrijgen.
Microsoft’s standpunt
Momenteel adviseert Microsoft gebruikers om bepaalde functies met betrekking tot CVE-2023-36884 uit te schakelen, aangezien er nog geen definitieve oplossing beschikbaar is. Helaas vereisen deze aanbevolen maatregelen complexe handelingen die de functionaliteit van de computer kunnen beïnvloeden.
Bescherming met CDR-technologie
Door gebruik te maken van onze Content Disarm and Reconstruction (CDR) technologie kunnen bestanden die met de CVE-2023-36884 aanvalsmethode zijn geïnfecteerd, veilig worden geopend. CDR zorgt ervoor dat de schadelijke elementen uit het bestand worden verwijderd – in het geval van CVE-2023-36884 het subdocument en de verwijzing daarnaar. Door zich te concentreren op het behoud van schone elementen en het verwijderen van alles wat potentieel schadelijk kan zijn, biedt CDR bescherming tegen deze en vergelijkbare (nog onbekende) aanvallen.
