I går rapporterede vi fremkomsten af en ny nul-dag, der påvirker Microsoft Office og andre Microsoft-produkter, døbt Follina af forsker Kevin Beaumont. Problemet findes i alle aktuelt understøttede Windows-versioner, og kan udnyttes via Microsoft Office-versioner 2013 til Office 2019, Kontor 2021, Kontor 365, og Office ProPlus.
Sårbarheden blev afdækket af nao_sec-forskerholdet, efter opdagelsen af et Word-dokument, der er uploadet til VirusTotal fra en hviderussisk IP-adresse. Forskerne udsendte en række tweets, der beskriver deres opdagelse. Fejlen udnytter Microsoft Words eksterne link til at indlæse HTML'en og bruger derefter 'ms-msdt'-skemaet til at udføre PowerShell-kode.
Follina-sårbarhed nu givet en CVE-identifikator
Microsoft har netop delt afværgeteknikker mod Follina, som nu er tildelt CVE-2022-30190 identifikatoren. Sårbarheden er et problem med fjernudførelse af kode, der påvirker Microsoft Windows Support Diagnostic Tool (MSDT). Kort sagt, nul-dagen tillader kodeudførelse i en række Microsoft-produkter, som kan udnyttes i forskellige angrebsscenarier. Endvidere, sårbarheden "bryder grænsen for at have makroer deaktiveret,” med leverandørdetektion er meget dårlig.
Ifølge Microsofts nyligt udgivet blog, CVE-2022-30190 udløses, når MSDT kaldes ved hjælp af URL-protokollen fra et opkaldende program:
Der eksisterer en sårbarhed for fjernudførelse af kode, når MSDT kaldes ved hjælp af URL-protokollen fra et kaldende program, såsom Word. En angriber, der med succes udnytter denne sårbarhed, kan køre vilkårlig kode med rettighederne fra det kaldende program. Angriberen kan derefter installere programmer, visning, lave om, eller slette data, eller oprette nye konti i den kontekst, der er tilladt af brugerens rettigheder.
Hvordan kan CVE-2022-30190 afbødes?
"Deaktivering af MSDT URL-protokol forhindrer fejlfinding i at blive lanceret som links inklusive links i hele operativsystemet,”Sagde Microsoft. Du kan stadig få adgang til fejlfinding ved at bruge programmet Få hjælp, samt i systemindstillinger. De trin, der skal tages for at afbøde sårbarheden, er følgende:
1.Kør kommandoprompt som administrator.
2.For at sikkerhedskopiere registreringsdatabasenøglen, udfør kommandoen "reg eksport HKEY_CLASSES_ROOTms-msdt filnavn"
3.Udfør kommandoen "reg delete HKEY_CLASSES_ROOTms-msdt /f".
Vi opdaterer denne artikel, når nye oplysninger om CVE-2022-30190 dukker op.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: