Microsoft weigert te vertellen of Windows-kwetsbaarheden die actief worden uitgebuit nog een patch ontvangen. Voor zero day Follina is er in de tussentijd in ieder geval geen patch uitgerold.
Microsoft reageert bijzonder traag op zero day Follina, die alle Office-versies in Windows 10 en Windows 11 kwetsbaar maakt. Sinds enkele dagen erkent het bedrijf de zero day onder het CVE-nummer CVE-2022-30190 en kreeg het een kwetsbaarheidsscore van 7,8 op 10. Hierdoor lijkt het om een recent probleem te gaan, maar dat is slechts schijn.
2020 eerste melding
Een academische paper beschreef de kwetsbaarheid voor het eerst in 2020. Onderzoekers kwamen erachter dat het mogelijk is om Microsoft Support Diagnostic Tool (MSDT) in te zetten om iedere computer een bijlage te laten downloaden en draaien.
Twee jaar later meldt een onderzoeker van Shadow Chaser Group hetzelfde probleem rechtstreeks aan Microsoft. Het bedrijf classificeert de melding al snel als onmogelijk doordat de MSDT niet zonder wachtwoord zou opereren.
Eind mei duikt de melding opnieuw op in een tweet, waarna de Twitteraar credits krijgt van Microsoft als ontdekker van een groot probleem. Het bedrijf lijkt de melding eindelijk serieus te nemen, al doet het lange wachten op een oplossing daaraan twijfelen.
lees ook
Opgelet: nieuwe zero day in Microsoft Office omzeilt zelfs macro’s – Update
Actieve uitbuiting
Opvallend aan het hele verhaal is dat Microsoft per toeval wel het lek dichtte in een Office 365 Insider-versie voor bètatesters. Het deed dat zonder een CVE-rapport te documenteren of extra informatie te geven.
Hackers maken van de lakse houding van Microsoft dankbaar gebruik. Online beveiligingsbedrijf Proofpoint waarschuwde vorige week nog dat hackersgroepen met banden met overheden de zero day uitbuiten.
Kaspersky, eveneens een cybersecuritybedrijf, ziet ook een toename in het aantal uitbuitingen van Follina. De VS is het grootste doelwit, maar ook in België en onze buurlanden werden hackpogingen ondernomen.