CVE-2023-21716 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Microsoft Word 处理 RTF 文档时，字体表存在堆损坏漏洞。 💥 **后果**：攻击者可实现 **远程代码执行 (RCE)**，完全控制受害者系统。

🔍 **CWE**：CWE-190 (整数溢出)。 📍 **缺陷点**：Microsoft Office 的 **wwlib** 组件在处理 RTF 字体表时发生堆损坏。

📦 **受影响产品**： • Microsoft Office Online Server • Microsoft Office 2019 for Mac • Microsoft 365 Apps for Enterprise (64-bit) • SharePoint Enterprise Server 2016 • **Microsoft Office LTSC for Mac 2021**

👑 **权限**：以 **受害者权限** 执行代码。 📂 **数据**：可读取、修改或删除任意文件，安装恶意软件，提升权限。

⚡ **门槛**：**极低**。 • 攻击向量：网络 (AV:N) • 攻击复杂度：低 (AC:L) • 无需认证 (PR:N) • **无需用户交互** (UI:N) - 打开恶意文件即中招。

💣 **有现成 Exp**： • GitHub 上已有多个 **PoC** (Proof of Concept)。 • 包括 Python 3.11 编写的 RTF Crash POC。 • 存在 **在野利用** 风险，攻击者可通过邮件附件投递。

🔎 **自查方法**： • 扫描 **RTF 文件** 中的异常字体表结构。 • 使用 **YARA 规则** 进行回溯狩猎 (Retrohunt)。 • 检查 Office 组件版本是否在上述受影响列表中。

🛡️ **官方修复**： • Microsoft 已发布安全更新 (MSRC 链接已提供)。 • 建议立即检查 **Update Guide** 并应用最新补丁。

🚧 **临时规避**： • **禁用 RTF 处理**：在 Word 选项中禁用 RTF 格式支持。 • **邮件过滤**：拦截或隔离来自未知发件人的 RTF 附件。 • **沙箱测试**：在隔离环境中打开可疑文档。

🔥 **优先级**：**紧急 (Critical)**。 • CVSS 评分 **9.8** (极高)。 • 无需用户交互即可利用，危害极大。 • **立即行动**：更新 Office 组件，部署检测规则。