Et Word-dokument som nylig ble lastet opp til Virustotal fra en IP-adresse i Belarus, har vist seg å kunne utnytte en til nå ukjent sårbarhet i Office. Dette ble fredag først omtalt av «nao_sec», et japansk team med cybersikkerhetsforskere. Dokumentet laster ned HTML-kode fra en ekstern server, før det kjører noe av dette som PowerShell-kommandoer.
Dette skal ikke være mulig ifølge sikkerhetsforskeren Kevin Beaumont, som har skrevet en større artikkel om det som har vist seg å være en aktivt utnyttet nulldagssårbarhet. Han har kalt angrepskoden for Follina fordi koden inneholder referansen 0438, som er retningsnummeret til den italienske byen med samme navn.
Får laste ned og kjøre ondsinnet kode
Kort fortalt benytter det aktuelle dokumentet en funksjon for bruk av eksterne maler til å laste ned den ondsinnede HTML-filen. Deretter brukes supportverktøyet ms-msdt til å laste noe kode og til å kjøre denne i PowerShell.
Ifølge Beaumont lar dette seg gjøre selv om makroer er deaktivert i Word. Dreier det seg et RTF-skjema, vil koden kunne kjøres selv under forhåndsvisning i Filutforskeren.
Beaumont har testet angrepskoden i en rekke versjoner av Microsoft Office og har greid å utnytte den i alle fall i Office 2013, 2016 og 2021. Han skal derimot ikke ha fått til å utnytte sårbarheten i Inside- eller Current-utgaver av Office 365, men det er uklart om dette skyldes at Microsoft har gjort endringer uten å dokumentere dem eller om Beaumont har gjort noe feil i forsøkene.
Avvist av Microsoft?
Sårbarheten har allerede begynt vekke oppsikt:
Den hittil siste utviklingen i saken er at det ser ut til at angrepskoden har blitt aktivt brukt siden alle fall april, at det ble varslet den 12. april til Microsoft Security Response Center (MSRC), som konkluderte med at det ikke var et sikkerhetsrelatert problem.
Til tross for dette mener flere at sårbarheten er fjernet fra de aller nyeste versjonene av Office 365/Microsoft 365, uten at Microsoft har sagt noe om dette.
