Onderzoekers hebben een nieuw ernstig lek in Microsoft-producten ontdekt, waardoor aanvallers mogelijk willekeurige code kunnen uitvoeren. MITRE heeft deze kwetsbaarheid CVE-2022-30190 genoemd, terwijl onderzoekers hem enigszins poëtisch ‘Follina’ noemden. Het meest verontrustende is dat er nog geen oplossing voor deze bug is. Wat nog erger is, is dat cybercriminelen deze kwetsbaarheid al actief misbruiken. Terwijl de update in ontwikkeling is, wordt alle Windows-gebruikers en -beheerders geadviseerd tijdelijke workarounds te gebruiken.
Wat is CVE-2022-30190 en welke producten worden erdoor getroffen?
De kwetsbaarheid CVE-2022-30190 bevindt zich in de Microsoft Windows Support Diagnostic Tool (MSDT), wat niet veel lijkt voor te stellen. Helaas kan door de implementatie van deze tool de kwetsbaarheid worden uitgebuit via een schadelijk MS Office-document.
MSDT is een toepassing die wordt gebruikt om automatisch diagnostische informatie te verzamelen en naar Microsoft te sturen wanneer er iets misgaat met Windows. De tool kan worden opgeroepen vanuit andere toepassingen (Microsoft Word is het populairste voorbeeld) via het speciale MSDT URL-protocol. Als de kwetsbaarheid met succes wordt uitgebuit, kan een aanvaller willekeurige code uitvoeren met de rechten van de applicatie die de MSDT heeft aangeroepen – in dit geval dus met de rechten van de gebruiker die het schadelijke bestand heeft geopend.
De kwetsbaarheid CVE-2022-30190 kan in alle besturingssystemen van de Windows-familie worden uitgebuit, zowel desktop als server.
Hoe aanvallers CVE-2022-30190 uitbuiten
Als demonstratie van een aanval beschrijven de onderzoekers die de aanval hebben ontdekt, het volgende scenario. Aanvallers maken een schadelijk MS Office-document en zorgen ervoor dat het op de een of andere manier bij een slachtoffer terechtkomt. De meest gebruikelijke manier om dit te doen is het verzenden van een e-mail met een schadelijke bijlage, aangevuld met een klassieke social engineering-truc om de ontvanger ervan te overtuigen het bestand te openen. Iets als “Dringend het contract nakijken, morgenvroeg tekenen” kan al genoeg zijn.
Het geïnfecteerde bestand bevat een link naar een HTML-bestand dat JavaScript-code bevat die schadelijke code in de opdrachtregel via MSDT uitvoert. Als gevolg van succesvolle exploitatie kunnen de aanvallers programma’s installeren, gegevens bekijken, wijzigen of vernietigen, en nieuwe accounts aanmaken. Oftewel: alles doen wat mogelijk is met de privileges van het slachtoffer in het systeem.
Zo blijft u veilig
Zoals hierboven al vermeld, is er vooralsnog geen patch. Ondertussen raadt Microsoft aan om het MSDT URL-protocol uit te schakelen. Hiervoor moet u een opdrachtprompt met beheerdersrechten uitvoeren en het commando reg delete HKEY_CLASSES_ROOTms-msdt /f uitvoeren. Alvorens dit te doen, is het een goed idee om een reservekopie van het register te maken door reg export HKEY_CLASSES_ROOTms-msdt bestandsnaam uit te voeren. Op deze manier kunt u snel het register herstellen met het commando reg import bestandsnaam zodra deze workaround niet meer nodig is.
Dit is natuurlijk slechts een tijdelijke maatregel, en u moet een update installeren die het Follina-lek dicht zodra die beschikbaar komt.
De beschreven methoden om deze kwetsbaarheid uit te buiten omvatten het gebruik van e-mails met schadelijke bijlagen en social engineering-methoden. Daarom raden wij aan nog voorzichtiger te zijn met e-mails van onbekende afzenders – vooral met MS Office-documenten als bijlage. Voor bedrijven is het verstandig om regelmatig bewustzijn onder werknemers te creëren wat betreft de meest relevante trucs van hackers.
Daarnaast moeten alle apparaten met toegang tot het internet zijn uitgerust met robuuste beveiligingsoplossingen. Zelfs wanneer iemand misbruik maakt van een onbekende kwetsbaarheid, kunnen dergelijke oplossingen voorkomen dat er schadelijke code op de computer van een gebruiker wordt uitgevoerd.