Er is een tot dusver onbekende kwetsbaarheid (zero-day) ontdekt in de Microsoft Support Diagnostic Tool. Zelfs zonder het uitvoeren van macro’s, kunnen via een externe link bestanden met kwaadaardige html-code worden ingeladen, bijvoorbeeld via een Word document.
Er is nog geen update beschikbaar om de kwetsbaarheid te verhelpen, wel is er een workaround beschikbaar om misbruik van de kwetsbaarheid te voorkomen. Wij adviseren deze dan ook uit te voeren. Bovendien luidt het advies om geen Office-bestanden te openen afkomstig van onbekende of onbetrouwbare bron. Niet-vertrouwde bestanden moet je niet omzetten in rtf-formaat wanneer hier om wordt gevraagd.
De kwetsbaarheid- CVE-2022-30190
De kwetsbaarheid legt via een remote-template-link in een Office-document contact met een webserver. Vanaf daar wordt een html-bestand gedownload die een Powershell-code laadt en uitvoert. Dit laatste gebeurt via MSDT (Microsoft Diagnostic Tool), zelfs als de macro’s zijn uitgeschakeld.
In veel gevallen opent de beveiligde weergave, maar als je het document opent of downloadt in rtf-formaat, wordt de code ook uitgevoerd in de beveiligde weergave of in de preview.
De aanvaller kan vervolgens programma’s installeren, gegevens bekijken, wijzigen of verwijderen, of nieuwe accounts maken in de context die is toegestaan door de gebruikersrechten.
Bescherming door Protected View en Application Guard for Office
Als de aanroepende toepassing een Microsoft-Office toepassing is, opent Microsoft standaard documenten van internet in Protected View of Application Gard for office. Beide voorkomen de huidige aanval.
Workaround toegepast
Voor het beveiligingslek hebben wij op jouw systemen, waarop dit van toepassing is, de workaround van Microsoft toegepast. Je hoeft niets te doen als je gebruik maakt van:
- De Arrix Moderne Werkplek
- Remote Desktop en Citrix Servers, die door ons gemonitord worden
Zelf workaround toepassen
Monitoren we jouw omgeving niet? Dan adviseren wij om de gegeven workaround zelf toe te passen op de systemen waarop je Office gebruikt. Heb je hierbij liever hulp of twijfel je eraan of we jouw omgeving monitoren? Neem dan contact met ons op, we helpen je graag.
Naar de workaround
Met de workaround is de kwetsbaarheid tijdelijk uitgeschakeld. We verwachten dat Microsoft binnenkort met een oplossing voor dit beveiligingslek komt.