Zranitelnost využívá nástroj pro odesílání diagnostických dat MSDT (Microsoft Diagnostic Tool). Po otevření dokumentu dojde ke stažení HTML souboru, který pomocí MSDT stáhne škodlivý kód a následně ho spustí. V případě změny přípony dokumentu na Rich Text Format (RTF) dochází ke spuštění kódu i v případě pouhého náhledu dokumentu v průzkumníku souborů. Funkčnost zranitelnosti byla prozatím potvrzena ve všech verzích MS Office 2013 až 2021, MS Office Pro Plus a MS Office 365.
V tuto chvíli není k dispozici oficiální opravná aktualizace. Do jejího vydání doporučujeme poučit uživatele o nutnosti věnovat zvýšenou pozornost veškerým dokumentům MS Office obdržených od třetí strany a před otevřením důsledně prověřovat důvěryhodnost odesílatele.
Spolu s tím též doporučujeme aplikovat technická protiopatření podle dispozic vaší organizace. Upozorňujeme nicméně, že tato opatření mohou omezit některé legitimní funkce:
- Nastavit blokaci spouštění procesu “msdt.exe” s rodičovským procesem “WINWORD.EXE”, “EXCEL.EXE” nebo “OUTLOOK.EXE” pomocí EDR řešení, pokud jím disponujete. K detekci lze využít Sigma pravidlo publikované společností Huntress: https://gist.github.com/matthewB-huntress/14ab9d309f25a05fc9305a8e7f351089
- Nastavit pravidlo “Block all Office applications from creating child processes” v Microsoft Defender Attack Surface Reduction na hodnotu “Block”. Pro postup k nastavení viz https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes
- Pomocí doménové politiky (GPO) dočasně deaktivovat:
- MSDT URL protocol smazáním registrového klíče “HKCR:\ms-msdt”. Před vymazáním je doporučeno provést zálohu registrů k budoucí obnově.
- Podokno náhledu/Preview panel pro Průzkumník souborů.
Pro více podrobností o zranitelnosti a plánovaného vydání opravné aktualizace sledujte oficiální informace od Microsoft:
