Zero-day kwetsbaarheid verholpen in Microsoft MSDT
Deze pagina gebruikt slimmigheden om officiële advisory platte tekst naar HTML om te zetten. Daarbij kan die informatie worden verminkt. De "Signed-PGP" versies waarnaar verwezen wordt zijn normatief (maar deze zijn minder leesbaar).
| Publicatie | Kans | Schade | |||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Versie 1.03 | 15-06-2022 | NCSC-2022-0381 | |||||||||||||||||||||||||||||||||||
|
high
|
medium
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 15-06-2022 |
high
|
medium
|
NCSC-2022-0381 [1.03] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Kenmerken |
|
||||||||||||||||||||||||||||||||||||
| Omschrijving |
Een onderzoeker heeft een zero-day kwetsbaarheid gevonden in Microsoft Support Diagnostic Tool. Met deze nieuwe manier van misbruik in Office kunnen externe templatebestanden met kwaadaardige code worden ingeladen terwijl de macrofunctionaliteit in Office is uitgeschakeld. Wanneer een gebruiker het document omzet naar RTF-formaat of wanneer het document in RTF-formaat wordt gedownload, wordt de code ook uitgevoerd in 'Protected view' of 'Preview mode'. Een gebruiker kan via phishing of bijvoorbeeld een link op een website verleid worden dit bestand te downloaden. Voor meer informatie, zie [Link] [Link] |
||||||||||||||||||||||||||||||||||||
| Bereik |
|
||||||||||||||||||||||||||||||||||||
| Oplossingen |
Microsoft heeft updates uitgebracht om de kwetsbaarheid te verhelpen. Zie onderstaande link voor meer informatie [Link] Indien de update (nog) niet kan worden ingezet, kan gebruik gemaakt worden van de onderstaande mitigerende maatregelen: Om te detecteren of de kwetsabaarheid in een specifiek systeem aanwezig is kan gebruik gemaakt worden van de gepubliceerde Defender for Endpoint-query. Voor meer informatie, zie [Link] Ook kan de file type association voor ms-mdt worden verwijderd. Dit kan in de Windows registry HKEY_CLASSES_ROOT\ms-msdt. Hierdoor wordt ms-mdt niet geladen wanneer een kwaadaardig document wordt geopend. Voor meer informatie, zie [Link] Daarnaast blijft het advies om enkel Office-bestanden uit bekende en/of vertrouwde bron te openen bestaan. Zet daarnaast niet-vertrouwde Office-bestanden niet om in RTF-formaat wanneer hier om wordt gevraagd of open deze betanden niet met Microsoft Officeprogramma's. |
||||||||||||||||||||||||||||||||||||
| CVE’s | |||||||||||||||||||||||||||||||||||||
| Kans |
Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen hoe groot de kans is dat deze kwetsbaarheid in het doorsnee praktijkgeval kan worden misbruikt. De punten worden bij elkaar geteld.
|
||||||||||||||||||||||||||||||||||||
| Schade |
Onderstaande tabel geeft in detail aan hoe wij tot de inschatting zijn gekomen voor de schade die bij een succesvolle aanval kan ontstaan. De hoogste inschaling bepaalt de totale kans op schade.
|
||||||||||||||||||||||||||||||||||||
| Versie 1.03 | 15-06-2022 | NCSC-2022-0381 | |||||||||||||||||||||||||||||||||||
|
high
|
medium
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 15-06-2022 |
high
|
medium
|
NCSC-2022-0381 [1.03] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
Microsoft heeft updates uitgebracht om de kwetsbaarheid te verhelpen. Deze updates worden met de Microsoft Patch Tuesday updates van juni automatisch meegenomen. |
||||||||||||||||||||||||||||||||||||
| Versie 1.02 | 31-05-2022 | NCSC-2022-0381 | |||||||||||||||||||||||||||||||||||
|
high
|
medium
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 31-05-2022 |
high
|
medium
|
NCSC-2022-0381 [1.02] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
Microsoft heeft meer informatie beschikbaar gesteld over de precieze locatie van de kwetsbaarheid en heeft een CVE-kenmerk toegewezen. De kwetsbaarheid bevindt zich in de Microsoft Support Diagnostic Tool. Tevens heeft Micsosoft handelingsperspectieven gepubliceerd om de kwetsbaarheid te mitigeren. |
||||||||||||||||||||||||||||||||||||
| Versie 1.01 | 31-05-2022 | NCSC-2022-0381 | |||||||||||||||||||||||||||||||||||
|
high
|
medium
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 31-05-2022 |
high
|
medium
|
NCSC-2022-0381 [1.01] | Signed-PGP → | |||||||||||||||||||||||||||||||||
| Update |
Er is meer informatie beschikbaar over de aanvalsvector en mitigerende maatregelen voor deze kwetsbaarheid. Hierdoor is de inschaling verhoogd van Medium/Medium naar High/Medium. |
||||||||||||||||||||||||||||||||||||
| Versie 1.00 | 30-05-2022 | NCSC-2022-0381 | |||||||||||||||||||||||||||||||||||
|
medium
|
medium
|
Signed-PGP → | |||||||||||||||||||||||||||||||||||
| 30-05-2022 |
medium
|
medium
|
NCSC-2022-0381 [1.00] | Signed-PGP → | |||||||||||||||||||||||||||||||||
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend.
Het NCSC en de Staat zijn niet aansprakelijk voor enige schade
ten gevolge van het gebruik of de onmogelijkheid van het gebruik
van dit beveiligingsadvies, waaronder begrepen schade ten gevolge
van de onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies.
Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle
geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies
zullen worden voorgelegd aan de exclusief bevoegde rechter te Den
Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in
kort geding.