Gisteren meldden we de opkomst van een nieuwe zero-day die gevolgen heeft voor Microsoft Office en andere Microsoft-producten, nagesynchroniseerde Follina door onderzoeker Kevin Beaumont. Het probleem bestaat in alle momenteel ondersteunde Windows-versies, en kan worden gebruikt via Microsoft Office-versies 2013 naar kantoor 2019, Office 2021, Office 365, en Office ProPlus.
De kwetsbaarheid is ontdekt door het onderzoeksteam van nao_sec, na de ontdekking van een Word-document dat is geüpload naar VirusTotal vanaf een Wit-Russisch IP-adres. De onderzoekers plaatsten een reeks tweets met details over hun ontdekking. De fout maakt gebruik van de externe link van Microsoft Word om de HTML te laden en gebruikt vervolgens het 'ms-msdt'-schema om PowerShell-code uit te voeren.
Follina-kwetsbaarheid krijgt nu een CVE-identificatie
Microsoft heeft zojuist mitigatietechnieken tegen Follina gedeeld, waaraan nu de ID CVE-2022-30190 is toegewezen. Het beveiligingslek is een probleem met het uitvoeren van externe code dat van invloed is op het Microsoft Windows Support Diagnostic Tool (MSDT). Kort gezegd, de zero-day maakt uitvoering van code mogelijk in een reeks Microsoft-producten, die kan worden misbruikt in verschillende aanvalsscenario's. Bovendien, de kwetsbaarheid "doorbreekt de grens van het uitschakelen van macro's",” waarbij de detectie van leveranciers erg slecht is.
Volgens Microsoft's nieuw uitgebrachte blog, CVE-2022-30190 wordt geactiveerd wanneer MSDT wordt aangeroepen met behulp van het URL-protocol van een aanroepende toepassing:
Er bestaat een kwetsbaarheid voor het uitvoeren van externe code wanneer MSDT wordt aangeroepen met behulp van het URL-protocol van een aanroepende toepassing zoals Word. Een aanvaller die dit beveiligingslek weet te misbruiken, kan willekeurige code uitvoeren met de bevoegdheden van de aanroepende toepassing. De aanvaller kan dan programma's installeren, view, verandering, of wissen, of maak nieuwe accounts aan in de context toegestaan door de gebruikersrechten.
Hoe kan CVE-2022-30190 worden beperkt??
"Door het MSDT URL-protocol uit te schakelen, wordt voorkomen dat probleemoplossers worden gestart als koppelingen, inclusief koppelingen in het hele besturingssysteem,”Microsoft zei. U kunt nog steeds toegang krijgen tot probleemoplossers met behulp van de toepassing Get Help, evenals in systeeminstellingen. De stappen die moeten worden genomen om de kwetsbaarheid te verminderen, zijn de volgende::
1.Voer de opdrachtprompt uit als beheerder.
2.Een back-up maken van de registersleutel:, voer het commando "reg export HKEY_CLASSES_ROOTms-msdt bestandsnaam" uit
3.Voer het commando "reg delete HKEY_CLASSES_ROOTms-msdt /f" uit.
We zullen dit artikel bijwerken wanneer nieuwe informatie over CVE-2022-30190 verschijnt.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: