SIKKERHET

Follina-sårbarheten i Windows ble omtalt av student allerede i 2020

Fortsatt er ingen offisiell sikkerhetsfiks tilgjengelig.

Windows 10 er blant Windows-utgavene som inneholder det sårbare MSDT-verktøyet.
Windows 10 er blant Windows-utgavene som inneholder det sårbare MSDT-verktøyet. Foto: <a href="https://www.flickr.com/photos/thebetterday4u/50024262303">Flickr/Aaron Yoo</a> (CC BY-ND 2.0)
Harald BrombachHarald BrombachNyhetsleder
7. juni 2022 - 15:00

Den alvorlige sårbarheten i Diagnoseverktøy for Microsoft Kundestøtte (msdt.exe – Microsoft Support Diagnostic Tool), et verktøy som følger med mange Windows-utgaver, har vært kjent for noen i lang tid. Faktisk ble den kort nevnt i en bacheloroppgave skrevet av den daværende studenten Benjamin Altpeter allerede i august 2020. 

Sårbarheten, som Microsoft først anerkjente som et sikkerhetsrelatert problem for en uke siden, gjør det mulig for angripere å lage dokumenter som laster ned angrepskode via internett når de åpnes. Det er tilstrekkelig at en bruker klikker på filen i Filutforskeren i Windows, dersom forhåndsvisning er aktivert. Åpnes filen i for eksempel Word, vil ikke angrepskoden kjøres så lenge Beskyttet visning er aktiv.

Legitime signaler

Altpeter skriver riktignok om en litt annen angrepsvektor enn Filutforskeren eller Word, men protokollen som brukes – ms-msdt – er den samme. I Altpeters beskrivelse må offeret lokkes til å trykke på en knapp.

– Fordi denne vektoren bruker det offisielle feilsøkingsverktøyet til Microsoft – som brukeren kanskje allerede er kjent med og som signaliserer at legitim diagnose finner sted – bør det ikke være for vanskelig for angriperen å overbevise brukeren om at det er nødvendig å klikke på denne knappen, skriver Altpeter.

Ifølge Bleeping Computer har det den siste uken blitt oppdaget en rekke nye angrep og angrepsforsøk som utnytter Follina-sårbarheten.

Azure er ikke bare Microsofts skyplattform, men også en blåfarge. Dette bildet er generert av en kunstig intelligens, basert på ordet.
Les også

Microsoft kritiseres for ikke å ta sårbarheter i skyløsningen sin alvorlig nok

«Nonchalant tilnærming»

Selv om sårbarheten i mange uker har blitt utnyttet i faktiske angrep, er det lite i kommunikasjonen fra selskapet som tyder på at sårbarheten er særlig alvorlig. Dette har blitt kritisert. 

– Sikkerhetsteam risikerer å tolke Microsoft nonchalante tilnærming som et tegn på at dette «bare er nok en sårbarhet», noe det definitivt ikke er, sier Jake Williams, direktør for cybertrusseletterretning i sikkerhetsselskapet Scythe, i en uttalelse til Wired

– Det er ikke klart hvorfor Microsoft fortsetter å tone ned denne sårbarheten, spesielt siden den utnyttes i det fri. 

Microsoft har så langt ikke kommet med noen informasjon om når en sikkerhetsfiks kan forventes. Det har ikke engang blitt sagt at det skal komme en slik sikkerhetsfiks. Til nå har selskapet bare kommet med råd om hvordan støtten for den aktuelle protokollen kan deaktiveres. 

Det kan likevel hende at en offisiell sikkerhetsfiks blir gjort tilgjengelig på den vanlige patche-tirsdagen om en uke.

Mikropatch

Imidlertid har selskapet Acros Security gjennom sin 0patch-tjeneste utgitt en gratis mikropatch som skal kunne forhindre angrepene. Ifølge omtalen av patchen sender MSDT nedlastede data til diagnoseverktøyet sdiagnhost.exe, som sender data videre til et RunScript-kall for kjøring i Powershell. 

Mikropatchen sørger for at det under gitte omstendigheter ikke kan gjøres noen RunScript-kall så lenge diagnoseverktøyet kjøres. 

Hver enkelt må vurdere risikoen det eventuelt er å installere mikropatchen.

Check Point har publisert ny skadevarerapport, og den har en farlig nykommer på listen.
Les også

Farlig skadevare tilbake for fullt i Norge

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.