Kiberbiztonsági szakértők egy nulladik napi hibára (CVE-2022-30190) figyelmeztetnek a Microsoft Office-ban, amelynek aktív kihasználtsága is ismert, és az MS dokumentumok makrók elleni védett nézete (protected view) sem nyújt vele szemben védelmet.
Többek között Kevin Beaumont biztonsági szakértő végzett vizsgálatot egy belarusz IP címről a Virustotalra feltöltött gyanús Word dokumentum kapcsán.
A „Follina” névre keresztelt hibáról Beaumont blogján közölt információkat. Eszerint a fájl az MS Word távoli sablon funkcióját használja egy HTML fájl lekérésére, majd az ms-msdt URI séma segítségével hajt végre PowerShell szkriptet a támadott rendszeren, akkor is ha a makrók tiltva is vannak.
Beaumont elemzését több szakember is ellenőrizte, jelen pillanatban úgy tűnik az Office Pro Plus, Office 2013, Office 2016, és Office 2021-es verziók biztosan sérülékenyek.
Időközben a techóriás is reagált a hibára. Hivatalos hibajavítás ugyan még nem érhető el, azonban egy megkerülő eljárás segítségével kivédhetjük a sebezhetőséget kihasználó támadásokat az MSDT URL protokoll átmeneti tiltásával.
Ehhez nem kell mást tennünk, mint:
- Futtasssuk a parancssort adminisztrátorként (Run as Admin).
- A “reg export HKEY_CLASSES_ROOT\ms-msdt filename“ parancs segítségével készítsünk biztonsági mentést a registry kulcsról.
- Töröljük a HKEY_CLASSES_ROOT\ms-msdt kulcsot a következő parancs megadásával: “reg delete HKEY_CLASSES_ROOT\ms-msdt /f”.
A kulcs visszatöltésének menete:
- Futtasssuk a parancssort adminisztrátorként (Run as Admin).
- A következő parancs végrehajtása: “reg import filename” ─ amelyben a filename a registry kulcs neve.
A Microsoft Defender a 1.367.719.0 (vagy ennél frissebb) vírusdefiníciós verzió esetében már képes azonosítani, ha a sebezhetőséget kihasználó káros kód jut a rendszerre. A Defendert alkalmazó felhasználóknál vélhetően már települt is ez a verzió, azonban ez könnyen ellenőrizhető, Windows 10 esetén például a Gépház > Frissítés és biztonság > Windows biztonság > Vírus- és veszélyforrás-kezelés > Vírus- és veszélyforrás-kezelési frissítések menüpont alatt.