Samenvatting
Details van een 0-daagse kwetsbaarheid in Microsoft Office zijn deze week uitgebracht.
CVE-2022-30190 (CVSS 3.1: 7.8/7.3 – Hoog) is een kwetsbaarheid voor het uitvoeren van externe code waardoor een toepassing zoals Microsoft Word het MSDT URL-protocol kan aanroepen met gecodeerde payloads van externe bronnen, ingebouwde Office-beveiligingen omzeilen en uitvoeren willekeurige code.
Het beveiligingslek bestaat zelfs wanneer macro’s zijn uitgeschakeld en payloads kunnen worden gebruikt die de functie Protected View vermijden.
Het MSDT (Microsoft Support Diagnostic Tool) URL-protocol roept een probleemoplossingspakket aan op de opdrachtregel of als onderdeel van een geautomatiseerd script, en maakt extra opties mogelijk zonder invoer van de gebruiker
Kevin Beaumont publiceerde zijn onderzoek naar de exploitatie van dit beveiligingslek, inclusief voorbeelden van payloads.
EDR-oplossingen, waaronder Cortex XDR en Defender Antivirus, zijn bijgewerkt met handtekeningen om misbruikpogingen te detecteren. Regels voor detectie in de meeste andere tools zijn ook beschikbaar, inclusief regels voor URL-filtering in PAN-DB.
Aangezien dit een evoluerende bedreiging is en er geen patch beschikbaar is van Microsoft, is ons onmiddellijke advies om de tijdelijke oplossing van Microsoft te volgen om het MSDT URL-protocol uit te schakelen.
Oplossingen
Als u het MSDT URL-protocol uitschakelt, wordt voorkomen dat probleemoplossers worden gestart als koppelingen, inclusief koppelingen in het hele besturingssysteem. U kunt nog steeds toegang krijgen tot probleemoplossers via de toepassing Get Help en in de systeeminstellingen als andere of aanvullende probleemoplossers. Volg deze stappen om uit te schakelen:
– Voer de Command Prompt uit als Administrator.
– Om een back-up van de registersleutel te maken, voert u de opdracht “reg export HKEY_CLASSES_ROOT\ms-msdt bestandsnaam” uit
– Voer het commando “reg delete HKEY_CLASSES_ROOT\ms-msdt /f” uit.
De tijdelijke oplossing ongedaan maken:
– Voer de Command Prompt uit als Administrator.
– Om de registersleutel te herstellen, voert u het commando “reg import bestandsnaam” uit