0-dagssårbarhed i Office

Follina-sårbarheden har set dagens lys. Microsoft melder om udnyttelser 'in the wild'.

Microsoft offentliggjorde mandag vejledning til en nyopdaget 0-dagssårbarhed i Office-pakken. Det skriver The Hacker News og en række andre medier. Sårbarheden har fået id’et CVE-2022-30190 og er vurderet til en score på 7,8 på CVSS-skalen. Sårbarheden kan udnyttes til at opnå kodekørsel på berørte systemer. Der er rapporter om udnyttelse 'in the wild' gennem skadelig kode, som eksekveres ved åbning af word-dokumenter.

Microsoft Office-versionerne Office 2013, Office 2016, Office 2019 og Office 2021 samt Professional Plus-udgaver er berørt af sårbarheden, der har navnet Follina. Den kom frem i slutningen af ​​sidste uge, men de første tegn på udnyttelse af fejlen sås allerede ifølge The Hacker News den 12. april 2022. Se neden for en komplet liste over berørte systemer.

Microsoft skriver i sin advisory, at der ”..eksisterer en sårbarhed ved fjernudførelse af kode, når MSDT kaldes ved hjælp af URL-protokollen fra et kaldende program som Word. En angriber, der med succes udnytter denne sårbarhed, kan køre vilkårlig kode med rettighederne fra den kaldende applikation. Angriberen kan derefter installere programmer, se, ændre eller slette data eller oprette nye konti i den kontekst, der tillades af brugerens rettigheder.” Udnyttelsen af sårbarheden kræver brugerinteraktion.

Anbefalinger

DKCERT har udsendt en advarsel til medlemmer af forskningsnettet med anbefalinger til håndtering af sårbarheden. Der er pt ikke er en patch tilgængelig.

  • Alle administratorer bør anvende den løsning, der er udgivet af Microsoft, som deaktiverer MSDT URL-protokollen og dermed forhindrer udnyttelse.
  • Deaktiver eller fjern funktioner, der ikke anvendes
  • Afinstaller eller deaktiver unødvendige tjenester, såsom ubrugte fildelingstjeneste, webapplikationsmodul eller servicefunktion
  • Anvend princippet om mindst privilegium på alle systemer og tjenester. Kør al software som en ikke-privilegeret bruger
  • Begræns administratorrettigheder til dedikerede administratorkonti på enheder
  • Brug Endpoint Detection og Response (EDR) klienter.

Berørte systemer

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2012
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2019
  • Windows Server, version 20H2 (Server Core Installation)
  • Windows Server 2022 Azure Edition Core Hotpatch
  • Windows Server 2022 (Server Core installation)
  • Windows Server 2022
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows RT 8.1
  • Windows 8.1 for x64-based systems
  • Windows 8.1 for 32-bit systems
  • Windows 10 for x64-based Systems
  • Windows 10 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 20H2 for ARM64-based Systems
  • Windows 10 Version 20H2 for 32-bit Systems
  • Windows 10 Version 20H2 for x64-based Systems
  • Windows 10 Version 21H1 for 32-bit Systems
  • Windows 10 Version 21H1 for ARM64-based Systems
  • Windows 10 Version 21H1 for x64-based Systems
  • Windows 10 Version 21H2 for x64-based Systems
  • Windows 10 Version 21H2 for ARM64-based Systems
  • Windows 10 Version 21H2 for 32-bit Systems
  • Windows 11 for ARM64-based Systems
  • Windows 11 for x64-based Systems

 

Links:

https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-mitigation-for-office-zero-day-exploited-in-attacks

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

https://thehackernews.com/2022/05/microsoft-releases-workarounds-for.html

https://www.securityweek.com/document-exploiting-new-microsoft-office-zero-day-seen-wild

https://www.theregister.com/2022/05/30/follina_microsoft_office_vulnerability/