CVE-2022-30190 är en sårbarhet genom ”fjärrkörning av lokal kod” i MSDT som påverkar flera versioner av Microsoft Office, inklusive versioner av Office 2019 och 2021. Sårbarheten finns på grund av hur MSDT anropas med hjälp av URL-protokollet från vissa applikationer. På grund av hur denna sårbarhet utnyttjas listar Microsoft den som ”lokal”, men en angripare som utnyttjar denna brist skulle troligen vara avlägsen. Microsoft förklarar, ”Ordet Remote i titeln hänvisar till platsen för angriparen. Själva attacken utförs lokalt.”
På CSI har vi redan funnit spår av försök hos våra kunder senaste dagarna då denna ”exploit” vuxit lavinartat.
En angripare skapar ett skadligt dokument med MSDT-anropet via den externa kod som injekterats, t.ex. för Microsoft Word, och skickar den via e-post eller på annat sätt skickar filen till sitt mål. Genom att utnyttja denna sårbarhet kan en angripare utföra kommandon med behörigheterna för programmet som används för att öppna det skadliga dokumentet. Enligt Microsoft kan angripare ”installera program, visa, ändra eller ta bort data eller skapa nya konton.” Attackerna som observerades i april exekverade PowerShell-kod.
Huntress Labs och Kevin Beaumont upptäckte att RTF-format (rich text format) kringgår Protected View, ett viktigt försvar mot skadliga dokument i Microsoft Office som lyfts fram i Microsofts begränsningsvägledning. Om den skadliga filen finns i RTF kommer exploateringen att utlösas när målet väl väljer den skadliga filen i Utforskaren i Windows.
Forskare har jämfört CVE-2022-31090 med CVE-2021-40444, som har utnyttjats flitigt. Med tanke på det, och tillgången på exploateringskod, förväntar vi oss att se bredare attacker riktade mot CVE-2022-31090 inom en snar framtid. Läs mer om IT-säkerhet här.
Watchguard var snabba ut med en patch för att skydda sina kunder. Vi på CSI är certifierad partner till Watchguard och använder deras system i stor utsträckning.
