Den alvorlige sårbarheten i Diagnoseverktøy for Microsoft Kundestøtte (msdt.exe – Microsoft Support Diagnostic Tool), et verktøy som følger med mange Windows-utgaver, har vært kjent for noen i lang tid. Faktisk ble den kort nevnt i en bacheloroppgave skrevet av den daværende studenten Benjamin Altpeter allerede i august 2020.
Sårbarheten, som Microsoft først anerkjente som et sikkerhetsrelatert problem for en uke siden, gjør det mulig for angripere å lage dokumenter som laster ned angrepskode via internett når de åpnes. Det er tilstrekkelig at en bruker klikker på filen i Filutforskeren i Windows, dersom forhåndsvisning er aktivert. Åpnes filen i for eksempel Word, vil ikke angrepskoden kjøres så lenge Beskyttet visning er aktiv.
Legitime signaler
Altpeter skriver riktignok om en litt annen angrepsvektor enn Filutforskeren eller Word, men protokollen som brukes – ms-msdt – er den samme. I Altpeters beskrivelse må offeret lokkes til å trykke på en knapp.
– Fordi denne vektoren bruker det offisielle feilsøkingsverktøyet til Microsoft – som brukeren kanskje allerede er kjent med og som signaliserer at legitim diagnose finner sted – bør det ikke være for vanskelig for angriperen å overbevise brukeren om at det er nødvendig å klikke på denne knappen, skriver Altpeter.
Ifølge Bleeping Computer har det den siste uken blitt oppdaget en rekke nye angrep og angrepsforsøk som utnytter Follina-sårbarheten.
Microsoft kritiseres for ikke å ta sårbarheter i skyløsningen sin alvorlig nok
«Nonchalant tilnærming»
Selv om sårbarheten i mange uker har blitt utnyttet i faktiske angrep, er det lite i kommunikasjonen fra selskapet som tyder på at sårbarheten er særlig alvorlig. Dette har blitt kritisert.
– Sikkerhetsteam risikerer å tolke Microsoft nonchalante tilnærming som et tegn på at dette «bare er nok en sårbarhet», noe det definitivt ikke er, sier Jake Williams, direktør for cybertrusseletterretning i sikkerhetsselskapet Scythe, i en uttalelse til Wired.
– Det er ikke klart hvorfor Microsoft fortsetter å tone ned denne sårbarheten, spesielt siden den utnyttes i det fri.
Microsoft har så langt ikke kommet med noen informasjon om når en sikkerhetsfiks kan forventes. Det har ikke engang blitt sagt at det skal komme en slik sikkerhetsfiks. Til nå har selskapet bare kommet med råd om hvordan støtten for den aktuelle protokollen kan deaktiveres.
Det kan likevel hende at en offisiell sikkerhetsfiks blir gjort tilgjengelig på den vanlige patche-tirsdagen om en uke.
Mikropatch
Imidlertid har selskapet Acros Security gjennom sin 0patch-tjeneste utgitt en gratis mikropatch som skal kunne forhindre angrepene. Ifølge omtalen av patchen sender MSDT nedlastede data til diagnoseverktøyet sdiagnhost.exe, som sender data videre til et RunScript-kall for kjøring i Powershell.
Mikropatchen sørger for at det under gitte omstendigheter ikke kan gjøres noen RunScript-kall så lenge diagnoseverktøyet kjøres.
Hver enkelt må vurdere risikoen det eventuelt er å installere mikropatchen.
Fikk navn etter en bitter ansatts markering og ble forbudt av Steve Jobs. Nå er de overalt
