Een kwetsbaarheid in alle versies van Windows stelt aanvallers in staat kwaadaardige code uit te voeren via speciaal vervaardigde Office-documenten. De kwetsbaarheid heeft de naam Follina gekregen. Lees meer over de risico’s en oplossing.
Op 27 mei ontdekten leden van het Japanse onderzoeksteam nao_sec via de virusscandienst VirusTotal een Word-document dat kwaadaardige code laadt en uitvoert wanneer het wordt geopend – zelfs wanneer de uitvoering van macro’s is uitgeschakeld en zonder dat de gebruiker actie hoeft te ondernemen.
Lek zit in Microsoft Support Diagnostic Toolkit (MSDT)
Ironisch genoeg identificeerden de onderzoekers een veiligheidslek in de Microsoft Support Diagnostic Toolkit (MSDT) van Windows, die zelf fouten in Microsoft-producten aan de fabrikant rapporteert, als het centrale achterdeurtje. Alle Windows-versies zijn dus getroffen, ook Windows 11.
Als aanvallers de kwetsbaarheid met succes misbruiken, hebben zij controle over het systeem en kunnen zij willekeurige programma’s opnieuw laden en toegang krijgen tot gegevens en deze wissen. Meer bepaald maakt de aanval gebruik van een Office-functie met de naam “Remote Template” om een HTML-bestand van een externe server opnieuw te laden dat een verwijzing bevat naar een URL met de protocol-handler “ms-msdt” met juist gekozen parameters. Deze start vervolgens de Microsoft Support Diagnostic Toolkit en voert de op deze manier geïntroduceerde kwaadaardige code uit.
Hoog risico – ook in Outlook
Theoretisch zouden aanvallers deze URL ook rechtstreeks in een HTML-mail kunnen insluiten om Outlook-gebruikers aan te vallen. Deskundigen beschouwen de kwetsbaarheid met het CVE-nummer 2022-30190, die inmiddels de naam Follina heeft gekregen, als zeer gevaarlijk. Het heeft een CVSS-score van 7,8.
Aanvallers kunnen het beveiligingslek misbruiken in alle MS Office-versies tot en met de huidige versie 2021, alsook in Office 365. De aanval kan ook worden uitgevoerd met RTF-documenten. In tegenstelling tot wat Microsoft voorstelt, biedt de beschermde weergave in Office onvoldoende bescherming omdat deze volgens deskundigen niet geldt voor de bestandsvoorvertoning in Windows Verkenner.
Slachtoffers van Follina
De kwetsbaarheid werd voor het eerst gemeld op 12 april, maar Microsoft classificeerde het pas op 31 mei als een zero day. Volgens berichten wordt Follina ook al sinds april uitgebuit. Afgezien van leden van de internationale Tibetaanse gemeenschap zijn de aanvallen die openbaar zijn geworden, tot dusver vooral gericht tegen Russische en Wit-Russische gebruikers.
De kwetsbaarheid werd echter al veel eerder beschreven. Een student aan de Technische Universiteit van Braunschweig had het – eerder terloops – vermeld in zijn bachelorscriptie van 1 augustus 2020. Interessant is dat het proefschrift verdere beschrijvingen bevat van open leemten in Microsoft-producten. Tot dusver is niet bekend of deze zijn uitgebuit.
Oplossing voor Follina kwetsbaarheid
Als tijdelijke beschermingsmaatregel heeft Microsoft aanbevolen de ms-msdt URL-handler voorlopig uit te schakelen. Om dit te doen:
- moeten gebruikers de opdrachtprompt als beheerder starten
- een back-up van de registersleutel maken met het commando reg export HKEY_CLASSES_ROOT\ms-msdt backup.reg
- deze vervolgens verwijderen met het commando reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Hierdoor wordt misbruik van de beveiligingsmaatregel voorkomen. Dit voorkomt blijkbaar op betrouwbare wijze uitbuiting van de kwetsbaarheid en heeft, afgezien van een paar scenario’s voor probleemoplossing, weinig neveneffecten.
Patch voor Follina
Een officiële patch tegen Follina is op dit moment nog niet beschikbaar, net zo min als voor het ook pas ontdekte ‘Dogwalk’ lek.
Eventueel kun je (als thuisgebruiker) kijken naar de inofficiële micropatches die beschikbaar zijn via het Sloveense 0patch. Toepassen van inofficiële patches brengt zelf weer risico’s mee.
Wil je minder kwetsbaarheden op je systeem, dan kan dat een reden zijn om nog eens te kijken naar Linux.
Zoals gewoonlijk incompleet, zie het volledige bericht uit ITdaily van 1 juni 2022
https://itdaily.be/nieuws/security/zero-day-in-microsoft-office-omzeilt-macros/
Controleer voor de zekerheid ook dit even betreffende Defender-endpoint:
Op deze wijze beveilig je namelijk het eigen view-venster van outlook in basis.
Een heel handig middel welke je gemakkelijk zelf kunt instellen, er worden voorbeelden gegeven.
https://docs.microsoft.com/nl-nl/microsoft-365/security/defender-endpoint/overview-attack-surface-reduction?view=o365-worldwide
Abonneer je hier gratis op, dan loop je niet achter op beveiliging en ander belangrijk ICT nieuws.
Alhier loop je toch maar achter op dergelijke nieuws feiten.
Maar is dit wel een msWindows issue? Het gaat om msWord documenten. Die open ik in LibreOffice. Is het daar ook een probleem? of is dat juist een mogelijke workaround?
En als het met LIbreOffice ook een probleem is, wat gebeurt er dan met LibreOffice onder Linux?