Abonner
OPERATIVSYSTEMER OG PROGRAMVARE

Microsoft bekrefter alvorlig nulldagssårbarhet i Windows-verktøy

Kommer med råd om hvordan angrep kan forhindres.

Microsoft har så langt ikke kommet med noen opplysninger om noen snarlig sikkerhetsoppdatering som fjerner sårbarheten.
Microsoft har så langt ikke kommet med noen opplysninger om noen snarlig sikkerhetsoppdatering som fjerner sårbarheten. Foto: Swayne B. Hall/AP/NTB
Del
Kommenter
Harald BrombachHarald BrombachNyhetsleder
31. mai 2022 - 11:30

Microsoft har bekreftet den Office-relaterte nulldagssårbarheten som Digi.no omtalte mandag. Sårbarheten (CVE-2022-30190) er ifølge Microsoft knyttet til verktøyet Microsoft Support Diagnostic Tool (MSDT). Den åpner for fjernkjøring av vilkårlig kode når MSDT mottar et oppkall fra for eksempel Word via MSDT URL-protokollen. 

Dette gjør det mulig for angripere å lage for eksempel et Word-dokument som laster ned blant annet kommandoer som kjøres i PowerShell, uten at dette blokkeres av at makroer er deaktivert i Word.

Azure er ikke bare Microsofts skyplattform, men også en blåfarge. Dette bildet er generert av en kunstig intelligens, basert på ordet.
Les også

Microsoft kritiseres for ikke å ta sårbarheter i skyløsningen sin alvorlig nok

Artikkelen fortsetter etter annonsen
annonsørinnhold
Atea
Ikke kast bort tiden på dårlige løsninger for videomøter

Blokkeres i mange tilfeller

Ifølge Microsoft blokkeres kjøringen derimot av Protected View eller Application Guard for Office dersom dokumentet åpnes i en Office-applikasjon. Det er måter å omgå dette på, blant annet dersom innholdet i dokumentet er i RTF-format og det forhåndsvises i Filutforskeren når brukeren velger dokumentet. Flere detaljer er oppgitt i dette oppdaterte blogginnlegget fra sikkerhetsforskeren Kevin Beaumont.

Kjøringen av koden skjer med samme privilegier som det den oppkallende applikasjonen har. Avhengig av brukerens rettigheter kan dette ifølge Microsoft gjøre det mulig for en angriper å installere programvare, manipulere data eller opprette nye kontoer på systemet. 

Microsoft har ikke oppgitt hvilke versjoner av Office som er berørt av sårbarheten, men i blogginnlegget til Beaumont vises det til vellykkede tester i Office 2013, 2016, 2019 og 2021.

Midlertidig tiltak

Microsoft har så langt ikke kommet med noen opplysninger om noen snarlig sikkerhetsoppdatering som fjerner sårbarheten, noen det kan det være behov for, siden den blir utnyttet i faktiske angrep. Men støtte for MSDT URL-protokollen kan deaktiveres, noe Microsoft omtaler på denne siden. Det gjøres på denne måten:

  1. Start Ledetekst (cmd.exe) som Administrator
  2. Lag en sikkerhetskopi av registernøkkelen som skal slettes, med denne kommandoen:
    reg export HKEY_CLASSES_ROOT\ms-msdt filnavn
  3. Kjør kommandoen: reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Kunstig intelligens og «deepfake»-teknologi er nå så avansert at selv videokonferanser ikke lenger er en trygg arena.
Les også

Rundlurt av kunstig intelligens: Ble svindlet for 270 millioner i videomøte

Les mer om:
MICROSOFT OFFICEOPERATIVSYSTEMER OG PROGRAMVARESÅRBARHETER
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Forbrukerrådet
Azure utviklere
Forbrukerrådet
Oslo
19. mai
    En tjeneste fra