Ny sårbarhet i Microsofts verktyg möjliggör angrepp med hjälp av skadliga Microsoft Office-dokument | Traficom
Hoppa till huvudinnehåll
Cybersäkerhetscentret
Anmäl kränkningar
Anmäl kränkningar
Anmäl kränkningar

Ny sårbarhet i Microsofts verktyg möjliggör angrepp med hjälp av skadliga Microsoft Office-dokument

1. juni 2022 kl 12:21, Uppdaterad 15. juni 2022 kl 12:32

I diagnostikverktyget Microsoft Support Diagnostic Tool har uppdagats en nolldagarssårbarhet som möjliggör exekvering av kommandon på distans med hjälp av Microsoft Word-dokument. Microsoft publicerade en korrigering för en sårbarhet den 14 juni, som ska installeras omedelbart

Sårbarhetens CVE-kod är CVE-2022-30190 och den har fått en CVSS3-poäng på 7.8. För utnyttjande av sårbarheten räcker att man förhandsgranskar dokumentet i Microsoft Explorer-vyn eller att man öppnar ett dokument som innehåller den skadliga koden. Microsofts “Protected View” och “Application Guard” skyddar mot sårbarheten.

En del av verktygen som observerar skadliga program observerar försök att utnyttja sårbarheten. Microsoft Defender Antivirus och Microsoft Defender for Endpoint är exempel på sådana verktyg.

Man har redan observerat att sårbarheten har utnyttjats, och därför lönar det sig att vara särskilt försiktig när det gäller dokument som man fått från otillförlitliga källor innan den korrigerande uppdateringen installerats.

Microsoft publicerade en korrigering för en sårbarhet den 14 juni, som ska installeras omedelbart

Föremål for sårbarhet

Microsoft Windows 7 och nyare upp till Windows 11

Microsoft Windows Server 2008 och nyare upp till Windows Server 2022

Vad handlar det om?

Microsoft: CVE-2022-30190
Microsoft: Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability
Huntress: Rapid Response: Microsoft Office RCE - “Follina” MSDT Attack

Arbetsstationer och slutanvändarapplikationer

Sårbarheter i arbetsstationer och applikationer för vanliga användare gäller ofta en hel del användare. Målet kan vara Windows-operativsystemet eller ett textbehandlingsprogram. Skillnaden mellan serverapplikationer och slutanvändarapplikationer är ibland liten, då det är möjligt att använda samma operativsystem både i servern och i arbetsstationen.

Servrar och serverapplikationer

Sårbarheter i servrar och serverprogram gäller till exempel leverantörer av elektroniska tjänster. Typiska mål är operativsystem för servrar och www- eller e-postserverprogram, till exempel SunOS, Linux, Apache, IIS eller Sendmail.

På distans

En attack kan göras på distans via en nätverksanslutning eller motsvarande utan att själv komma till målsystemet.

Lokalt

Det är möjligt att göra en lokal attack endast genom att komma till utrustningen, som är målet för attacken, och genom att utnyttja den lokalt. En lokal attack är inte möjlig via en nätverksanslutning.

Exekvering av godtyckliga kommandon

En sårbarhet som gör det möjligt att köra godtyckliga kommandon kan anses vara allvarlig, då det betyder att den som utnyttjar sårbarheten kan använda målsystemet på samma sätt som den vanliga användaren. Det kan också leda till att angriparen som har trängt sig in i systemet via nätet kan ladda upp egna program för exekvering.

För kriminell användning

<p>Sårbarhet ligger i kriminell användning</p>

Korrigerande programuppdatering

En program- eller utrustningstillverkare offentliggör i allmänhet snart en ny version eller en partiell uppdatering av programmet eller operativsystemet efter det att sårbarheten blivit känd. Uppdateringen kan finnas tillgänglig samtidigt som sårbarheten offentliggörs, men ofta får man vänta ett tag.

Problembegränsning

Även om en korrigering till sårbarheten inte alltid finns tillgänglig, kan sårbarhetens verkningar oftast begränsas till exempel genom att tillfälligt avstå från att använda en viss egenskap eller genom att begränsa nätverkstrafik till målsystemet på ett lämpligt sätt.

15. juni 2022 kl 12:32 Microsoft publicerade en korrigering för en sårbarhet den 14 juni, som ska installeras omedelbart