Upozornění na zranitelnost CVE-2022-30190 u kancelářského balíku Microsoft Office

NÚKIB upozorňuje na závažnou zranitelnost CVE-2022-30190 (označovaná též “Follina”) týkající se kancelářského balíku Microsoft Office, která může sloužit ke spouštění škodlivého kódu na systému uživatele. Nebezpečí spočívá ve spuštění kódu bez ohledu na povolení maker, což činí potenciální phishingové útoky mnohem jednodušší. Zranitelnost je v současné době aktivně zneužívána, především u dokumentů Word.

Zranitelnost využívá nástroj pro odesílání diagnostických dat MSDT (Microsoft Diagnostic Tool). Po otevření dokumentu dojde ke stažení HTML souboru, který pomocí MSDT stáhne škodlivý kód a následně ho spustí. V případě změny přípony dokumentu na Rich Text Format (RTF) dochází ke spuštění kódu i v případě pouhého náhledu dokumentu v průzkumníku souborů. Funkčnost zranitelnosti byla prozatím potvrzena ve všech verzích MS Office 2013 až 2021, MS Office Pro Plus a MS Office 365.

V tuto chvíli není k dispozici oficiální opravná aktualizace. Do jejího vydání doporučujeme poučit uživatele o nutnosti věnovat zvýšenou pozornost veškerým dokumentům MS Office obdržených od třetí strany a před otevřením důsledně prověřovat důvěryhodnost odesílatele.

Spolu s tím též doporučujeme aplikovat technická protiopatření podle dispozic vaší organizace. Upozorňujeme nicméně, že tato opatření mohou omezit některé legitimní funkce:

• Nastavit blokaci spouštění procesu “msdt.exe” s rodičovským procesem “WINWORD.EXE”, “EXCEL.EXE” nebo “OUTLOOK.EXE” pomocí EDR řešení, pokud jím disponujete. K detekci lze využít Sigma pravidlo publikované společností Huntress: https://gist.github.com/matthewB-huntress/14ab9d309f25a05fc9305a8e7f351089
• Nastavit pravidlo “Block all Office applications from creating child processes” v Microsoft Defender Attack Surface Reduction na hodnotu “Block”. Pro postup k nastavení viz https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes

• Pomocí doménové politiky (GPO) dočasně deaktivovat:
  • MSDT URL protocol smazáním registrového klíče “HKCR:\ms-msdt”. Před vymazáním je doporučeno provést zálohu registrů k budoucí obnově.
  • Podokno náhledu/Preview panel pro Průzkumník souborů.

Pro více podrobností o zranitelnosti a plánovaného vydání opravné aktualizace sledujte oficiální informace od Microsoft:

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
• https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

Michael Fanta, redakce Cyberblog

Zdroj: NÚKIB

Foto: Pixabay