Sårbarheten har fått CVE-nummer CVE-2023-36884 og tillater fjernkjøring av kode via funksjonalitet i Office-dokumenter. Alle støttede Windows-versjoner skal være berørt.

For å utnytte sårbarheten kan en angriper f.eks. sende en e-post med et ondsinnet Word-dokument som vedlegg. Når dette dokumentet åpnes kan angriper kjøre kode med rettighetene til brukeren som åpnet vedlegget.

Microsoft rapporterer at utnyttelse av sårbarheten er sett i en phishing-kampanje fra trusselaktøren Storm-09782. I forbindelse med denne kampanjen har BlackBerry sluppet et blogginnlegg med teknisk analyse og flere indikatorer man kan bruke for å søke i egne systemer3.

NCSC er ikke kjent med utnyttelse av sårbarheten i Norge, men anbefaler alle å implementere Microsofts anbefalte mitigerende tiltak12:

Kunder som bruker Microsoft Defender for Office 365 er beskyttet fra vedlegg som forsøker å utnytte CVE-2023-36884.

I nåværende angrepskjede vil bruk av "Block all Office applications from creating child process"-regelen [4] forhindre at sårbarheten kan utnyttes.

  • Legg til følgene programmer i en registernøkkel som "REG_DWORD":
  • Registernøkkel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
  • Excel.exe
  • Graph.exe
  •  MSAccess.exe
  •  MSPub.exe
  •  PowerPoint.exe
  •  Visio.exe
  •  WinProj.exe
  •  WinWord.exe
  •  Wordpad.exe

NCSC antar det vil komme en "out-of-band"-oppdatering fra Microsoft i nærmeste fremtid og anbefaler alle å oppdatere så snart denne er tilgjengelig.