Microsoft har bekreftet den Office-relaterte nulldagssårbarheten som Digi.no omtalte mandag. Sårbarheten (CVE-2022-30190) er ifølge Microsoft knyttet til verktøyet Microsoft Support Diagnostic Tool (MSDT). Den åpner for fjernkjøring av vilkårlig kode når MSDT mottar et oppkall fra for eksempel Word via MSDT URL-protokollen.
Dette gjør det mulig for angripere å lage for eksempel et Word-dokument som laster ned blant annet kommandoer som kjøres i PowerShell, uten at dette blokkeres av at makroer er deaktivert i Word.
Blokkeres i mange tilfeller
Ifølge Microsoft blokkeres kjøringen derimot av Protected View eller Application Guard for Office dersom dokumentet åpnes i en Office-applikasjon. Det er måter å omgå dette på, blant annet dersom innholdet i dokumentet er i RTF-format og det forhåndsvises i Filutforskeren når brukeren velger dokumentet. Flere detaljer er oppgitt i dette oppdaterte blogginnlegget fra sikkerhetsforskeren Kevin Beaumont.
Kjøringen av koden skjer med samme privilegier som det den oppkallende applikasjonen har. Avhengig av brukerens rettigheter kan dette ifølge Microsoft gjøre det mulig for en angriper å installere programvare, manipulere data eller opprette nye kontoer på systemet.
Microsoft har ikke oppgitt hvilke versjoner av Office som er berørt av sårbarheten, men i blogginnlegget til Beaumont vises det til vellykkede tester i Office 2013, 2016, 2019 og 2021.
Midlertidig tiltak
Microsoft har så langt ikke kommet med noen opplysninger om noen snarlig sikkerhetsoppdatering som fjerner sårbarheten, noen det kan det være behov for, siden den blir utnyttet i faktiske angrep. Men støtte for MSDT URL-protokollen kan deaktiveres, noe Microsoft omtaler på denne siden. Det gjøres på denne måten:
- Start Ledetekst (cmd.exe) som Administrator
- Lag en sikkerhetskopi av registernøkkelen som skal slettes, med denne kommandoen:
reg export HKEY_CLASSES_ROOT\ms-msdt filnavn - Kjør kommandoen: reg delete HKEY_CLASSES_ROOT\ms-msdt /f