OPERATIVSYSTEMER OG PROGRAMVARE

Microsoft bekrefter alvorlig nulldagssårbarhet i Windows-verktøy

Kommer med råd om hvordan angrep kan forhindres.

Microsoft har så langt ikke kommet med noen opplysninger om noen snarlig sikkerhetsoppdatering som fjerner sårbarheten.
Microsoft har så langt ikke kommet med noen opplysninger om noen snarlig sikkerhetsoppdatering som fjerner sårbarheten. Foto: Swayne B. Hall/AP/NTB
Harald BrombachHarald BrombachNyhetsleder
31. mai 2022 - 11:30

Microsoft har bekreftet den Office-relaterte nulldagssårbarheten som Digi.no omtalte mandag. Sårbarheten (CVE-2022-30190) er ifølge Microsoft knyttet til verktøyet Microsoft Support Diagnostic Tool (MSDT). Den åpner for fjernkjøring av vilkårlig kode når MSDT mottar et oppkall fra for eksempel Word via MSDT URL-protokollen. 

Dette gjør det mulig for angripere å lage for eksempel et Word-dokument som laster ned blant annet kommandoer som kjøres i PowerShell, uten at dette blokkeres av at makroer er deaktivert i Word.

Azure er ikke bare Microsofts skyplattform, men også en blåfarge. Dette bildet er generert av en kunstig intelligens, basert på ordet.
Les også

Microsoft kritiseres for ikke å ta sårbarheter i skyløsningen sin alvorlig nok

Blokkeres i mange tilfeller

Ifølge Microsoft blokkeres kjøringen derimot av Protected View eller Application Guard for Office dersom dokumentet åpnes i en Office-applikasjon. Det er måter å omgå dette på, blant annet dersom innholdet i dokumentet er i RTF-format og det forhåndsvises i Filutforskeren når brukeren velger dokumentet. Flere detaljer er oppgitt i dette oppdaterte blogginnlegget fra sikkerhetsforskeren Kevin Beaumont.

Kjøringen av koden skjer med samme privilegier som det den oppkallende applikasjonen har. Avhengig av brukerens rettigheter kan dette ifølge Microsoft gjøre det mulig for en angriper å installere programvare, manipulere data eller opprette nye kontoer på systemet. 

Microsoft har ikke oppgitt hvilke versjoner av Office som er berørt av sårbarheten, men i blogginnlegget til Beaumont vises det til vellykkede tester i Office 2013, 2016, 2019 og 2021.

Midlertidig tiltak

Microsoft har så langt ikke kommet med noen opplysninger om noen snarlig sikkerhetsoppdatering som fjerner sårbarheten, noen det kan det være behov for, siden den blir utnyttet i faktiske angrep. Men støtte for MSDT URL-protokollen kan deaktiveres, noe Microsoft omtaler på denne siden. Det gjøres på denne måten:

  1. Start Ledetekst (cmd.exe) som Administrator
  2. Lag en sikkerhetskopi av registernøkkelen som skal slettes, med denne kommandoen:
    reg export HKEY_CLASSES_ROOT\ms-msdt filnavn
  3. Kjør kommandoen: reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Tjenestenektangrepene blir stadig kraftigere.
Les også

Cloudflare: – Dette er det kraftigste angrepet noensinne

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.