Nulldagssårbarhet i Microsoft Office
NCSC ønsker å varsle om en mulig nulldagssårbarhet i 2013- og 2016-utgavene av Microsoft Office1; primært Word, men tilgjengelig informasjon tilsier at også Outlook og Excel er berørt. NCSC kan ikke utelukke at andre produkter eller versjoner av Office også er sårbare.
Oppdatering 01.06:
Det er indikasjoner på at også nyeste versjon av Office er berørt, og at sårbarheten ikke kun er begrenset til 2013-/2016-utgavene av Office. Sårbarheten har fått tildelt CVE-nummer CVE-2022-30190 og Microsoft har publisert en veileder om sårbarheten: https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
Opprinnelig varsel:
Sårbarheten utnytter MSDT (Microsoft Diagnostics Tool) til å laste ned og kjøre PowerShell-kode fra internett. Utnyttelse av sårbarheten skal fungere selv om makroer er skrudd av2. Protected View mitigerer i noen grad utnyttelse, men dette kan omgås ved å benytte RTF-dokumenter3.
Det foreligger p.t. ingen sikkerhetsoppdatering eller CVE-nummer, men sårbarheten skal kunne mitigeres ved å fjerne "ms-msdt" fra Windows Registry4. Det er en viss risiko for legitim bruk av funksjonaliteten, men denne bruken er i så fall ikke godt kjent eller særlig utbredt.
NCSC anbefaler virksomheter å vurdere implementering av mitigerende tiltak for å hindre utnyttelse av sårbarheten, spesielt dersom man benytter noe annet enn nyeste utgave av Microsoft Office. NCSC anbefaler videre at virksomheter holder seg oppdatert på situasjonen og offisiell informasjon fra Microsoft når dette foreligger.
NCSC er p.t. ikke kjent med aktiv utnyttelse i Norge. Sårbarheten er imidlertid godt kjent internasjonalt og aktiv utnyttelse må forventes innen kort tid.
Referanser:
1https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e
2https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug
3https://media.cert.europa.eu/static/SecurityAdvisories/2022/CERT-EU-SA2022-039.pdf