Elke versie van Office is vandaag kwetsbaar op Windows 10 en Windows 11. Extra waakzaamheid voor Word-bijlagen in e-mails is belangrijk tot Microsoft een patch uitbrengt.
Update 01/06 8u30: Microsoft heeft een tijdelijke oplossing gedeeld om de zero day-kwetsbaarheid te mitigeren tot een officiële patch wordt uitgerold. Concreet moet je MSDT URL Protocol uitschakelen. Start Opdrachtprompt als administrator en vul dit commando in: ‘reg export HKEY_CLASSES_ROOT\ms-msdt filename‘. Voer daarna het commando ‘reg delete HKEY_CLASSES_ROOT\ms-msdt /f’ in.
Nadat Microsoft een officiële patch uitrolt, kan je het protocol opnieuw inschakelen via het commando ‘reg import filename‘. Lees de volledige handleiding en extra duiding op deze blogpost van Microsoft.
Origineel 31/05: De zero day-kwetsbaarheid werd ontdekt door Twitter-gebruiker @nao_sec eind vorige week. Via de zero day kunnen hackers met malafide Word-documenten code uitvoeren op de pc van het slachtoffer.
Volgens de ontdekker misbruikt de zero day de Word remote template-functie om een HTML-bestand te downloaden van een externe server. Die gebruikt het ms-msdt MSProtocol URI-schema om code te laden om die daarna uit te voeren via PowerShell.
Het enige wat het slachtoffer moet doen, is het Word-bestand openen. Daarna kunnen hackers dankzij standaard geïnstalleerde tools op Windows zoals PowerShell de malafide code uitvoeren. Hieronder vind je een illustratie.
De kwetsbaarheid krijgt de naam ‘Follina’ en werkt zelfs wanneer macro’s zijn uitgeschakeld. Office 2013, 2016, 2019 en 2021 zijn kwetsbaar en hebben nog geen patch van Microsoft ontvangen. Ook sommige versies van Office binnen een Microsoft 365-abonnement zijn kwetsbaar. De zero day is enkel een gevaar voor Windows-gebruikers, macOS-versies ondervinden geen hinder.
Microsoft negeerde het probleem
Volgens Twittergebruiker @crazyman_army heeft hij al op 12 april de kwetsbaarheid bekend gemaakt bij Microsoft. Op 21 april kreeg hij antwoord van Microsoft dat de kwetsbaarheid geen veiligheidsprobleem is en geen extra actie vereiste.
Opvallend is dat Microsoft per toeval wel het lek heeft gedicht in een Office 365 Insider-versie voor bètatesters. Het deed dat zonder een CVE-rapport te documenteren of extra informatie te geven.
Microsoft heeft nog niet officieel gereageerd op het zero day-lek. Vandaag is er geen patch beschikbaar voor elke Office-versie, behalve in sommige Office Insider-versies. Microsoft heeft wel een onderzoek geopend. Wees extra waakzaam voor Word-bijlagen in e-mails de komende weken. Securityfabrikanten zijn nog maar net op de hoogte van het lek, wat hackers tijdelijk vrij spel geeft.