Oppdatering 01.06:

Det er indikasjoner på at også nyeste versjon av Office er berørt, og at sårbarheten ikke kun er begrenset til 2013-/2016-utgavene av Office. Sårbarheten har fått tildelt CVE-nummer CVE-2022-30190 og Microsoft har publisert en veileder om sårbarheten: https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

Opprinnelig varsel:

Sårbarheten utnytter MSDT (Microsoft Diagnostics Tool) til å laste ned og kjøre PowerShell-kode fra internett. Utnyttelse av sårbarheten skal fungere selv om makroer er skrudd av2. Protected View mitigerer i noen grad utnyttelse, men dette kan omgås ved å benytte RTF-dokumenter3.

Det foreligger p.t. ingen sikkerhetsoppdatering eller CVE-nummer, men sårbarheten skal kunne mitigeres ved å fjerne "ms-msdt" fra Windows Registry4. Det er en viss risiko for legitim bruk av funksjonaliteten, men denne bruken er i så fall ikke godt kjent eller særlig utbredt.

NCSC anbefaler virksomheter å vurdere implementering av mitigerende tiltak for å hindre utnyttelse av sårbarheten, spesielt dersom man benytter noe annet enn nyeste utgave av Microsoft Office. NCSC anbefaler videre at virksomheter holder seg oppdatert på situasjonen og offisiell informasjon fra Microsoft når dette foreligger.

NCSC er p.t. ikke kjent med aktiv utnyttelse i Norge. Sårbarheten er imidlertid godt kjent internasjonalt og aktiv utnyttelse må forventes innen kort tid.

Referanser:

1https://doublepulsar.com/follina-a-microsoft-office-code-execution-vulnerability-1a47fce5629e

2https://www.huntress.com/blog/microsoft-office-remote-code-execution-follina-msdt-bug

3https://media.cert.europa.eu/static/SecurityAdvisories/2022/CERT-EU-SA2022-039.pdf

4https://twitter.com/sans_isc/status/1531075423270051841