Microsoft office gebruikers kwetsbaar door gevaarlijk lek in Windows (Follina)

Redactie13 juni, 2022• min. leestijd

Een kwetsbaarheid in alle versies van Windows stelt aanvallers in staat kwaadaardige code uit te voeren via speciaal vervaardigde Office-documenten. De kwetsbaarheid heeft de naam Follina gekregen. Lees meer over de risico’s en oplossing.

Op 27 mei ontdekten leden van het Japanse onderzoeksteam nao_sec via de virusscandienst VirusTotal een Word-document dat kwaadaardige code laadt en uitvoert wanneer het wordt geopend – zelfs wanneer de uitvoering van macro’s is uitgeschakeld en zonder dat de gebruiker actie hoeft te ondernemen.

Lek zit in Microsoft Support Diagnostic Toolkit (MSDT)

Ironisch genoeg identificeerden de onderzoekers een veiligheidslek in de Microsoft Support Diagnostic Toolkit (MSDT) van Windows, die zelf fouten in Microsoft-producten aan de fabrikant rapporteert, als het centrale achterdeurtje. Alle Windows-versies zijn dus getroffen, ook Windows 11.

Als aanvallers de kwetsbaarheid met succes misbruiken, hebben zij controle over het systeem en kunnen zij willekeurige programma’s opnieuw laden en toegang krijgen tot gegevens en deze wissen. Meer bepaald maakt de aanval gebruik van een Office-functie met de naam “Remote Template” om een HTML-bestand van een externe server opnieuw te laden dat een verwijzing bevat naar een URL met de protocol-handler “ms-msdt” met juist gekozen parameters. Deze start vervolgens de Microsoft Support Diagnostic Toolkit en voert de op deze manier geïntroduceerde kwaadaardige code uit.

Windows lek Follina

Hoog risico – ook in Outlook

Theoretisch zouden aanvallers deze URL ook rechtstreeks in een HTML-mail kunnen insluiten om Outlook-gebruikers aan te vallen. Deskundigen beschouwen de kwetsbaarheid met het CVE-nummer 2022-30190, die inmiddels de naam Follina heeft gekregen, als zeer gevaarlijk. Het heeft een CVSS-score van 7,8.

Aanvallers kunnen het beveiligingslek misbruiken in alle MS Office-versies tot en met de huidige versie 2021, alsook in Office 365. De aanval kan ook worden uitgevoerd met RTF-documenten. In tegenstelling tot wat Microsoft voorstelt, biedt de beschermde weergave in Office onvoldoende bescherming omdat deze volgens deskundigen niet geldt voor de bestandsvoorvertoning in Windows Verkenner.

Slachtoffers van Follina

De kwetsbaarheid werd voor het eerst gemeld op 12 april, maar Microsoft classificeerde het pas op 31 mei als een zero day. Volgens berichten wordt Follina ook al sinds april uitgebuit. Afgezien van leden van de internationale Tibetaanse gemeenschap zijn de aanvallen die openbaar zijn geworden, tot dusver vooral gericht tegen Russische en Wit-Russische gebruikers.

De kwetsbaarheid werd echter al veel eerder beschreven. Een student aan de Technische Universiteit van Braunschweig had het – eerder terloops – vermeld in zijn bachelorscriptie van 1 augustus 2020. Interessant is dat het proefschrift verdere beschrijvingen bevat van open leemten in Microsoft-producten. Tot dusver is niet bekend of deze zijn uitgebuit.

Oplossing voor Follina kwetsbaarheid

Als tijdelijke beschermingsmaatregel heeft Microsoft aanbevolen de ms-msdt URL-handler voorlopig uit te schakelen. Om dit te doen:

moeten gebruikers de opdrachtprompt als beheerder starten
een back-up van de registersleutel maken met het commando reg export HKEY_CLASSES_ROOT\ms-msdt backup.reg
deze vervolgens verwijderen met het commando reg delete HKEY_CLASSES_ROOT\ms-msdt /f

Hierdoor wordt misbruik van de beveiligingsmaatregel voorkomen. Dit voorkomt blijkbaar op betrouwbare wijze uitbuiting van de kwetsbaarheid en heeft, afgezien van een paar scenario’s voor probleemoplossing, weinig neveneffecten.

Patch voor Follina

Een officiële patch tegen Follina is op dit moment nog niet beschikbaar, net zo min als voor het ook pas ontdekte ‘Dogwalk’ lek.

Eventueel kun je (als thuisgebruiker) kijken naar de inofficiële micropatches die beschikbaar zijn via het Sloveense 0patch. Toepassen van inofficiële patches brengt zelf weer risico’s mee.

Wil je minder kwetsbaarheden op je systeem, dan kan dat een reden zijn om nog eens te kijken naar Linux.

Lees meer over malware en security in c't 05/2024

Bestel nu

Redactie

Ubuntu 24.04 LTS release: dit kun je verwachten van deze nieuwe versie

Canonical heeft de langverwachte release van versie 24.04 LTS van zijn eigen Linux distributie Ubuntu op tijd uitgebracht. Veel beheerders keken ernaa...

nieuws•Linux ubuntu

Vandaag, 16:00

Flink besparen op internet en tv met deze Odido aanbieding

Ben je op zoek naar manieren om te besparen op internet en tv? Of het nu gaat om het vinden van een voordelig abonnement of vanwege een recente verhui...

nieuws•Deals internet providers

Vandaag, 08:00

Softlink

2 Praat mee

Abonneer

nieuwsteoudste

Lezer

oldwizzy

Zoals gewoonlijk incompleet, zie het volledige bericht uit ITdaily van 1 juni 2022
https://itdaily.be/nieuws/security/zero-day-in-microsoft-office-omzeilt-macros/

Controleer voor de zekerheid ook dit even betreffende Defender-endpoint:
Op deze wijze beveilig je namelijk het eigen view-venster van outlook in basis.
Een heel handig middel welke je gemakkelijk zelf kunt instellen, er worden voorbeelden gegeven.
https://docs.microsoft.com/nl-nl/microsoft-365/security/defender-endpoint/overview-attack-surface-reduction?view=o365-worldwide

Abonneer je hier gratis op, dan loop je niet achter op beveiliging en ander belangrijk ICT nieuws.
Alhier loop je toch maar achter op dergelijke nieuws feiten.

Lezer

C. Beerse

Maar is dit wel een msWindows issue? Het gaat om msWord documenten. Die open ik in LibreOffice. Is het daar ook een probleem? of is dat juist een mogelijke workaround?
En als het met LIbreOffice ook een probleem is, wat gebeurt er dan met LibreOffice onder Linux?

Cookie	Looptijd	Omschrijving
AnalyticsSyncHistory	1 month	No description
bc_view	1 year	No description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-socialmedia	1 year	No description
cxexp	30 minutes	No description available.
cxid	session	No description available.
iutk	5 months 27 days	This cookie is used by Issuu analytic system. The cookies is used to gather information regarding visitor activity on Issuu products.
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
li_gc	2 years	No description
li_sugr	3 months	No description available.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ROUTEID	session	This cookie is used for directing the users to the same server.
SERVERID	past	This cookie is used to assign the user to a specific server, thus to provide a improved and faster server time. It remembers which server had delivered the last page on to the browser. It also helps in load balancing.
SessionID	session	No description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-1134343-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Looptijd	Omschrijving
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	session	To optimize ad relevance by collecting visitor data from multiple websites such as what pages have been loaded.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Looptijd	Omschrijving
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
CONSENT	16 years 2 months 19 days 17 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Microsoft office gebruikers kwetsbaar door gevaarlijk lek in Windows (Follina)

Lek zit in Microsoft Support Diagnostic Toolkit (MSDT)

Hoog risico – ook in Outlook

Slachtoffers van Follina

Oplossing voor Follina kwetsbaarheid

Patch voor Follina

Lees meer over malware en security in c't 05/2024

Lees ook

Ubuntu 24.04 LTS release: dit kun je verwachten van deze nieuwe versie

Flink besparen op internet en tv met deze Odido aanbieding

Lees ook

Softlink

Blijf op de hoogte!

Microsoft office gebruikers kwetsbaar door gevaarlijk lek in Windows (Follina)

Lek zit in Microsoft Support Diagnostic Toolkit (MSDT)

Hoog risico – ook in Outlook

Slachtoffers van Follina

Oplossing voor Follina kwetsbaarheid

Patch voor Follina

Lees meer over malware en security in c't 05/2024

Meer over

Deel dit artikel

Lees ook

Ubuntu 24.04 LTS release: dit kun je verwachten van deze nieuwe versie

Flink besparen op internet en tv met deze Odido aanbieding

Lees ook

Softlink

Blijf op de hoogte!