SÅRBARHETER

Alvorlig nulldagssårbarhet i Word ble offentliggjort i helgen

Åpner for fjernkjøring av vilkårlig kode.

Brukere av Microsoft Office bør være ekstra forsiktige med å åpne ukjente Word-dokumenter en tid framover.
Brukere av Microsoft Office bør være ekstra forsiktige med å åpne ukjente Word-dokumenter en tid framover. Illustrasjon: Microsoft
Harald BrombachHarald BrombachNyhetsleder
30. mai 2022 - 10:56

Et Word-dokument som nylig ble lastet opp til Virustotal fra en IP-adresse i Belarus, har vist seg å kunne utnytte en til nå ukjent sårbarhet i Office. Dette ble fredag først omtalt av «nao_sec», et japansk team med cybersikkerhetsforskere. Dokumentet laster ned HTML-kode fra en ekstern server, før det kjører noe av dette som PowerShell-kommandoer. 

Dette skal ikke være mulig ifølge sikkerhetsforskeren Kevin Beaumont, som har skrevet en større artikkel om det som har vist seg å være en aktivt utnyttet nulldagssårbarhet. Han har kalt angrepskoden for Follina fordi koden inneholder referansen 0438, som er retningsnummeret til den italienske byen med samme navn. 

Les også

Microsoft kritiseres for ikke å ta sårbarheter i skyløsningen sin alvorlig nok

Får laste ned og kjøre ondsinnet kode

Kort fortalt benytter det aktuelle dokumentet en funksjon for bruk av eksterne maler til å laste ned den ondsinnede HTML-filen. Deretter brukes supportverktøyet ms-msdt til å laste noe kode og til å kjøre denne i PowerShell. 

Ifølge Beaumont lar dette seg gjøre selv om makroer er deaktivert i Word. Dreier det seg et RTF-skjema, vil koden kunne kjøres selv under forhåndsvisning i Filutforskeren. 

Beaumont har testet angrepskoden i en rekke versjoner av Microsoft Office og har greid å utnytte den i alle fall i Office 2013, 2016 og 2021. Han skal derimot ikke ha fått til å utnytte sårbarheten i Inside- eller Current-utgaver av Office 365, men det er uklart om dette skyldes at Microsoft har gjort endringer uten å dokumentere dem eller om Beaumont har gjort noe feil i forsøkene. 

Avvist av Microsoft?

Sårbarheten har allerede begynt vekke oppsikt: 

Den hittil siste utviklingen i saken er at det ser ut til at angrepskoden har blitt aktivt brukt siden alle fall april, at det ble varslet den 12. april til Microsoft Security Response Center (MSRC), som konkluderte med at det ikke var et sikkerhetsrelatert problem.

Til tross for dette mener flere at sårbarheten er fjernet fra de aller nyeste versjonene av Office 365/Microsoft 365, uten at Microsoft har sagt noe om dette.

Svært mye Cisco-utstyr er kompromittert, forklarer Marius Sandbu i Sopra Steria.
Les også

Funn av nytt implantat på mange titalls Cisco-enheter i Norge – forsøker å skjule bakdør

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.