Microsoft varnar för ett kritiskt fel som upptäckts på Windows

47 2 minutes read
Microsoft Word © monticello / Shutterstock.com
Microsoft Word © monticello / Shutterstock.com

Microsoft avslöjar att en sårbarhet har upptäckts som tillåter exekvering av skadlig kod genom sitt diagnostiska supportverktyg. Många Windows-system är exponerade.

Fredagen den 27 maj kom en cybersäkerhetsforskare, nao_sec, över ett häftigt Word-dokument som laddats upp av en Vitryssland-baserad användare via VirusTotal-plattformen, som analyserar misstänkta filer. Det har sedan dess bekräftats av Microsoft som några dagar senare omvandlade det till sårbarhetsreferens CVE-2022-30190, som det för närvarande inte finns någon patch för. Denna brist tillåter fjärrkörning av kod via Microsoft Support Diagnostic Tool (msdt.exe), som hjälper till att diagnostisera Windows-problem, även om makron är inaktiverade.

Ett häftigt Word-dokument skickat via e-post

Så hur utnyttjas denna sårbarhet egentligen? Först skickar hackaren, efter att ha skapat Word-dokumentet med den skadliga koden, det till en professionell e-postadress. För att uppmuntra mottagaren att öppna den använder han olika sociala ingenjörsmetoder. När det fångade Word-dokumentet har öppnats tillåter det ett av OLE-objekten (Objektlänkning och inbäddning) finns i den senare för att ladda ner innehåll som som ofta finns på en extern server som kontrolleras av hackare.

Observera att OLE-tekniken kommer från Microsoft och låter dig lägga till information från en applikation till en annan, samtidigt som du behåller möjligheten att ändra den i källapplikationen. Det är till exempel möjligt att lägga till en Excel-tabell i en ritning.

När det gäller innehållet som laddas ner med det öppna Word-dokumentet, utnyttjar det en sårbarhet som tillåter fjärrexekvering av skadlig kod via Microsoft Support Diagnostic Tool. Den använder den externa Word-länken för att ladda HTML och använder sedan “ms-msdt”-schemat för att exekvera Powershell-koden, kodad i bas 64. Och vi sa det tidigare, attacken fungerar även oavsett om makron är inaktiverade i Word-filen.

Ingen patch släppt, men en lösning

Denna sårbarhet, när den väl har utnyttjats, kan fungera på de flesta Microsoft-system, från Windows 7 för 32-bitars eller x64-system till Windows 11 för ARM64- och x64-system, inklusive flera versioner av Windows 10, som har listats av ANSSI.

För närvarande finns det ingen fix. Microsoft erbjuder dock lösningar, som bara är tillfälliga. Företaget förklarar att om en användare öppnar dokumentet genom ett Office-program, läget Skyddad vy Var Application Guard för Office utlöses sedan, vilket förhindrar att den skadliga nyttolasten körs. Men vissa forskare tror att denna sårbarhet fortfarande kan utnyttjas med hjälp av ett dokument i RTF-format.

Flera andra attackvektorer kan användas för att felaktigt anropa den körbara filen msdt.exe, varnar ANSSI, vilket till exempel framkallar kommandot wgetgenom Powershell.

För att kringgå att köra msdt.exe binär, rekommenderar Microsoft att du inaktiverar MSDT URL-protokollet med följande kommando:

reg delete HKEY_CLASSES_ROOT\ms-msdt /f

För att uppnå detta måste du köra kommandotolken som administratör.

Källa: Microsofts blogg

Tags
47 2 minutes read

Relaterade Artiklar

Spotify Stations hoppar av App Store och Google Play Store

Foundation på Apple TV+: skulle serien ha vad som krävs för att bli lika kult som Asimovs verk?

Best YouTube apps for Windows 10

Topp 4 YouTube-appar på Microsoft Store för Windows 10

iRobot Roomba j7+ © iRobot

iRobot: Roomba robotdammsugare kommer nu att rädda din julgran

Lär dig mer om SEO för Bloggande Och Mobil Recensioner  |  © Copyright 2023, All Rights Reserved
Back to top button