Aktiv utnyttelse av nulldagssårbarhet i Microsoft-produkter
NCSC ønsker å informere om aktiv utnyttelse av en sårbarhet i Windows- og Office-produkter1, 2. Sårbarheten ble sluppet av Microsoft i går, 11. juli, men ble ikke adressert i patchetirsdag da det på nåværende tidspunkt ikke eksisterer sikkerhetsoppdatering.
Sårbarheten har fått CVE-nummer CVE-2023-36884 og tillater fjernkjøring av kode via funksjonalitet i Office-dokumenter. Alle støttede Windows-versjoner skal være berørt.
For å utnytte sårbarheten kan en angriper f.eks. sende en e-post med et ondsinnet Word-dokument som vedlegg. Når dette dokumentet åpnes kan angriper kjøre kode med rettighetene til brukeren som åpnet vedlegget.
Microsoft rapporterer at utnyttelse av sårbarheten er sett i en phishing-kampanje fra trusselaktøren Storm-09782. I forbindelse med denne kampanjen har BlackBerry sluppet et blogginnlegg med teknisk analyse og flere indikatorer man kan bruke for å søke i egne systemer3.
NCSC er ikke kjent med utnyttelse av sårbarheten i Norge, men anbefaler alle å implementere Microsofts anbefalte mitigerende tiltak1, 2:
Kunder som bruker Microsoft Defender for Office 365 er beskyttet fra vedlegg som forsøker å utnytte CVE-2023-36884.
I nåværende angrepskjede vil bruk av "Block all Office applications from creating child process"-regelen [4] forhindre at sårbarheten kan utnyttes.
- Legg til følgene programmer i en registernøkkel som "REG_DWORD":
- Registernøkkel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
- Excel.exe
- Graph.exe
- MSAccess.exe
- MSPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
NCSC antar det vil komme en "out-of-band"-oppdatering fra Microsoft i nærmeste fremtid og anbefaler alle å oppdatere så snart denne er tilgjengelig.