Varovanie pred zneužívaním 0-day zraniteľnosti v Microsoft Office – Word ms-msdt (Follina)

AKTUALIZÁCIA 01.06.2022 o 17:20: Upozornenie na aktívne zneužívanie zraniteľnosti a pridané odporúčania na mitigáciu

AKTUALIZÁCIA 31.05.2022 o 13:40: Pridané CVE a spôsob mitigácie zraniteľnosti

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred kritickou 0-day zraniteľnosťou v kancelárskom balíku Microsoft Office. Zraniteľnosť je momentálne aktívne zneužívaná útočníkmi a je veľmi vysoký predpoklad, že vo svojich útočných aktivitách môžu zasiahnuť slovenský kybernetický priestor.

Kritická zraniteľnosť, ktorá zatiaľ nemá pridelený identifikátor CVE ktorá má pridelený identifikátor CVE-2022-30190, je obzvlášť závažná, nakoľko je vhodnejšia na emailové phishingové útoky než v súčasnosti používané škodlivé office dokumenty vyžadujúce povolenie makier. Po otvorení škodlivého Office dokumentu používateľ nepotrebuje povoliť makrá a samotný kód je okamžite spustený s právami používateľa.

Bezpečnostný výskumník, ktorý zraniteľnosť objavil, vo svojej analýze uviedol, že pri dokumentoch Rich Text Format (.rtf) sa môže škodlivý kód spustiť už počas náhľadu (Preview panel) vo Windows exploreri, čo zvyšuje kritickosť zraniteľnosti a môže byť spustená bez toho, aby musel používateľ súbor vôbec otvoriť.

Zraniteľnosť, zneužíva mechanizmus “MS diag tool” v balíku Office, ktorý slúži na odosielanie diagnostických údajov. Pri náhľade alebo otváraní škodlivého dokumentu sa automaticky stiahne špeciálne pripravený HTML súbor, ktorý následne zneužitím funkcie „ms-msdt://“ spustí na počítači škodlivý kód. Zraniteľnosť bola zatiaľ potvrdená len v aplikácii Microsoft Word, nie je však vylúčený jej výskyt aj v ďalších aplikáciách kancelárskeho balíka Office.

Vyčerpávajúci zoznam zraniteľných verzií Microsoft Office zatiaľ nie je známy. Doposiaľ sa zraniteľnosť potvrdila v týchto verziách (k 30.05.2022):

  • MS Office 2013
  • MS Office 2016
  • MS Office 2019
  • MS Office 2021
  • MS Office Pro Plus (April 2022)
  • MS Office 365 Semi-Annual Channel

Odporúčania

NCKB SK-CERT odporúča dočasne nepoužívať Microsoft Word na otváranie dokumentov z neoverených neznámych zdrojov. Ako alternatívu je v nevyhnutných prípadoch možné použiť alternatívne kancelárske balíky.

Zároveň odporúčame aktualizáciu antivírusového produktu a jeho databázy a následné manuálne preskenovanie všetkých Office dokumentov, prijatých v nedávnej dobe. Prípadný výskyt tohto škodlivého kódu prosím hláste na [email protected].

Zároveň odporúčame, aby si organizácie preverili, aké maily s dokumentmi z balíka Office (najmä dokumenty s koncovkami .rtf, .doc, .docx, .docm, .xls, .xlsx, .xlsm, .ppt, .pptx) im prišli v nedávnom období, obzvlášť v dátume od 25.5. Útočníci môžu škodlivú prílohu zasielať aj zabalenú v archíve .zip, preto je potrebné preveriť aj maily s takýmito prílohami. Všetky neštandardné, nevyžiadané alebo podozrivé súbory odporúčame zabaliť do archívu .zip ochráneného heslom “infected” (bez úvodzoviek) a zaslať e-mailom na [email protected].

Spoločnosť Microsoft vydala workaround na systémy Windows k tejto zraniteľnosti. Dočasná mitigácia spočíva vo vypnutí MSDT URL Protokolu nasledovným spôsobom:

  1. spustite príkazový riadok ako Administrátor.
  2. zálohujte aktuálnu hodnotu kľúča v registri spustením príkaz “reg export HKEY_CLASSES_ROOT\ms-msdt filename“ (hodnotu filename si zvoľte podľa seba)
  3. vykonajte príkaz “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.

Kompletný postup, ako aplikovať workaround spolu s ďalšími informáciami nájdete na https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/.

Ďalšie opatrenia, ktoré je možné na mitigáciu zraniteľnosti aplikovať:

  • povoliť cloudovú ochranu a automatické zasielanie vzoriek cez Microsoft Defender (toto opatrenia spoločnosti Microsoft odporúčame zvážiť, pretože by mohlo dôjsť aj k nechcenému zasielaniu vášho citlivého obsahu)
  • zredukovať útočné možnosti vypnutím podprocesov v aplikáciách Office (zakázaním dcérskych procesov, resp. procesov spúštaných Microsoft Office)
  • vypnúť MSDT protokol na zariadeniach Windows
  • vypnúť MSDT prostredníctvom AppLockeru
  • vypnúť preview panel vo Windows Explorer

Analýza zraniteľnosti stále prebieha a v prípade zistenia nových informácií bude článok aktualizovaný. 

Zdroje:


« Späť na zoznam