Beheer

Security
Office-apps

0-day gat in Office maand geleden al benut voor Russisch doelwit

Net onthuld Office-gat blijkt al ruim een maand bekend.

© Microsoft
31 mei 2022

Net onthuld Office-gat blijkt al ruim een maand bekend.

Een vers geopenbaard 0-day gat in Microsoft Office blijkt al eerder misbruikt in de praktijk: in april dit jaar al. Via deze kwetsbaarheid kunnen kwaadwillenden een malafide Office-document inzetten om eigen code uit te voeren op Windows-computers. Eén gevonden geval van inzet heeft Rusland als doelwit. Microsoft zou vorige maand al zijn geïnformeerd.

Een Chinese security-onderzoeker, gespecialiseerd in APT's (advanced persistent threats) zoals staatshackers, claimt nu dat hij de bewuste kwetsbaarheid begin april bij Microsoft heeft gemeld. Het gaat om misbruik van Microsofts supporthulpmiddel MSDT (Microsoft Support Diagnostic Tool) waarmee dan op afstand code valt uit te voeren (remote code execution). Deze melding zou vervolgens door Microsoft zijn afgewezen voor een beloning (bug bounty). De redenatie van de leverancier zou zijn geweest dat dit 'geen securitygerelateerde kwestie is'.

'Geen securitykwestie'

Voor het uitvoeren van MSDT, wat dan zorgt voor uitvoering van externe software, zou een toegangscode nodig zijn. En de code die APT-jager 'Crazyman' had aangeleverd, werkte niet op het testsysteem van medewerker John van het Microsoft Security Response Center (MSRC). Tenminste, dat beweert de Chinese security-onderzoeker nu met screenshots van de conversatie die hij na zijn melding van 12 april zou hebben gehad.

Het ticket voor deze bugmelding zou door Microsoft op 21 april zijn gesloten. IT-beveiligingsexpert Kevin Beaumont merkt op dat het uitvoeren van externe code door MSDT, terwijl macro's in Office zijn uitgeschakeld, wel degelijk een beveiligingskwestie is. Hij schrijft in zijn blogpost over de 0-day (Follina genoemd) dat een malafide Office-document met deze 'payload' in april al is ge-upload naar VirusTotal.

Aanvalscampagnes verwacht

Het gaat om een Word-document met zogenaamd een uitnodiging voor een sollicitatie bij Sputnik Radio. Die Russische radiozender wordt er door de Verenigde Staten van verdacht onderdeel te zijn van het propaganda- en desinformatienetwerk van de regering van Vladimir Poetin. Het malafide document van vorige maand was bedoeld voor een Russisch doelwit, aldus Beaumont. Na die gerichte inzet van vorige maand en nu de gebruikte kwetsbaarheid openbaar is gemaakt - compleet met proof-of-concept code - verwachten beveiligingsexpert dat er snel bredere aanvallen zullen volgen.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.