Zeroday in Office deels afgedekt door Microsoft

De tegenmaatregel waar Office-maker Microsoft mee komt, is afgelopen weekend al aangedragen door security-experts. Het betreft het uitschakelen van het MSDT URL-protocol waarlangs Microsofts eigen hulptool MSDT (Microsoft Support Diagnostic Tool) externe content aanroept, die in dit geval dan binnen te halen code is. Opvallend genoeg bestempelt de leverancier dit niet als een kwetsbaarheid in Office, maar in Windows. Dat lijkt wel te rijmen met het feit dat misbruik ook mogelijk is via documentpreviewfunctionaliteit in de Windows Verkenner. Alleen is die route voor hackaanvallen nu niet afgedekt.

'Geen 0-day'

Microsoft wijst in zijn securitybericht op de bescherming die de Protected View van Office geeft tegen aanvallen via deze kwetsbaarheid. Het bedrijf noemt dit overigens geen zeroday, klaagt IT-beveiligingsonderzoeker Kevin Beaumont. Hij merkt op dat Protected View niet echt aanvallen voorkomt, want gebruik van het RTF-bestandsformaat kan alsnog een succesvolle aanval opleveren. Dan wordt namelijk de previewmogelijkheid van Windows' bestandsbeheertool Verkenner misbruikt. Kwetsbaarhedenanalist Will Dormann bevestigt dit.

"Protected View is dan niet van toepassing en het [toegestuurde malafide document, red.] wordt een zero-click exploit", legt Beaumont uit onderaan zijn uitdijende blogpost over deze zeroday kwetsbaarheid. "Microsoft weet dit, maar noemt het simpelweg niet naar zijn klanten." De kwetsbaarheid heeft nu een officieel CVE-nummer toegekend gekregen: CVE-2022-30190. Het is nog niet duidelijk of (en wanneer) er een patch komt, en of die dan voor Office of voor Windows zal zijn.

Niet blind gaan op logs

Ondertussen hebben diverse onderzoekers zich op de kwetsbaarheid gestort om deze verder uit te pluizen. Office-versies 2013, 2016, 2019 en 2021 zijn kwetsbaar bevonden. Verder zijn er ook meerdere gevallen van malafide Office-documenten gevonden, in de praktijk. Daaronder ook een schijnbare afpersingspoging die in april is ingezet door aanvallers.

Het eerder afgegeven advies van security-expert Jake Williams om aan gerichte detectie te doen, blijft dan ook van toepasing. Hij heeft in het weekend geadviseerd om te scannen op gebruik van de supporttool msdt.exe met specifiek aandacht voor welk proces op een Windows-computer dan die tool aanroept. Verder maakt het ontdekte malafide document ook gebruik van mpsigstub.exe wat een legitiem bestand is van securitysoftware Defender en wat vaak niet wordt meegenomen in logging, tweette Williams al.