Allvarlig 0-day-sårbarhet i Microsoft Office

Microsoft har tillkännagett en sårbarhet i Microsoft Support Diagnostic Tool (MSDT) i Windows. Sårbarheten, som har fått CVE-2022-30190 och även kallas Follina, kan utnyttjas i exempelvis Word och troligen även andra program inom MS Office-produkter [1].

Sårbarheten kan utnyttjas av en fjärrangripare via MSDT med URL-protokollet i exempelvis Word. Ett lyckat angrepp kan möjliggöra att angriparen kan köra godtycklig kod. Det innebär exempelvis att installera program, läsa, ändra eller radera data, skapa nya konton.Det finns i dagsläget ingen tillgängligt patch.

Sårbarheten verkar kunna utnyttjas även om macron är avstängda [2]. Protected view minskar risken till viss del, men detta kan kringgås genom RTF-dokument [3, 4, 5].Det finns rapporter om att sårbarheten utnyttjas aktivt.

Uppdatering 2022-06-15

Sårbarheten ingår i de produkter som lagas i Microsofts månatliga säkerhetsuppdatering för juni månad. [6, 7]

Påverkade produkter

Produkter under Windows som använder Microsoft Support Diagnostic Tool (MSDT), t.ex. MS Office-produkter

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart det är möjligt alternativt genomföra mitigerande åtgärder som hanterar sårbarheten. Läs vidare i Microsofts råd [1].

Källor

[1] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

[2] https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

[3] https://media.cert.europa.eu/static/SecurityAdvisories/2022/CERT-EU-SA2022-039.pdf

[4] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190

[5] https://isc.sans.edu/forums/diary/New+Microsoft+Office+Attack+Vector+via+msmsdt+Protocol+Scheme+CVE202230190/28694

[6] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

[7] https://www.cert.se/2022/06/microsofts-manatliga-sakerhetsuppdateringar-for-juni-2022