NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.03 #############################

Titel           : Zero-day kwetsbaarheid verholpen in Microsoft MSDT
Advisory ID     : NCSC-2022-0381
Versie          : 1.03
Kans            : high
CVE ID          : CVE-2022-30190
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : medium
                  (Remote) code execution (Gebruikersrechten)
Uitgiftedatum   : 20220615
Toepassing      : Microsoft Word
Versie(s)       :
Platform(s)     : Microsoft Windows

Update
   Microsoft heeft updates uitgebracht om de kwetsbaarheid te
   verhelpen. Deze updates worden met de Microsoft Patch Tuesday
   updates van juni automatisch meegenomen.

Beschrijving
   Een onderzoeker heeft een zero-day kwetsbaarheid gevonden in
   Microsoft Support Diagnostic Tool. Met deze nieuwe manier van
   misbruik in Office kunnen externe templatebestanden met kwaadaardige
   code worden ingeladen terwijl de macrofunctionaliteit in Office is
   uitgeschakeld. Wanneer een gebruiker het document omzet naar
   RTF-formaat of wanneer het document in RTF-formaat wordt gedownload,
   wordt de code ook uitgevoerd in 'Protected view' of 'Preview mode'.
   Een gebruiker kan via phishing of bijvoorbeeld een link op een
   website verleid worden dit bestand te downloaden. Voor meer
   informatie, zie:

   https://doublepulsar.com
      /follina-a-microsoft-office-code-execution-vulnerability-1a47fce5
      629e
   https://www.huntress.com/blog
      /microsoft-office-remote-code-execution-follina-msdt-bug

Mogelijke oplossingen
   Microsoft heeft updates uitgebracht om de kwetsbaarheid te
   verhelpen. Zie onderstaande link voor meer informatie:

   https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190

   Indien de update (nog) niet kan worden ingezet, kan gebruik gemaakt
   worden van de onderstaande mitigerende maatregelen:

   Om te detecteren of de kwetsabaarheid in een specifiek systeem
   aanwezig is kan gebruik gemaakt worden van de gepubliceerde Defender
   for Endpoint-query. Voor meer informatie, zie:

   https://github.com/GossiTheDog/ThreatHunting/blob/master
      /AdvancedHuntingQueries/Follina-Office.ahq

   Ook kan de file type association voor ms-mdt worden verwijderd. Dit
   kan in de Windows registry HKEY_CLASSES_ROOT\ms-msdt. Hierdoor wordt
   ms-mdt niet geladen wanneer een kwaadaardig document wordt geopend.
   Voor meer informatie, zie:

   https://msrc-blog.microsoft.com/2022/05/30
      /guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vu
      lnerability/

   Daarnaast blijft het advies om enkel Office-bestanden uit bekende
   en/of vertrouwde bron te openen bestaan. Zet daarnaast
   niet-vertrouwde Office-bestanden niet om in RTF-formaat wanneer hier
   om wordt gevraagd of open deze betanden niet met Microsoft
   Officeprogramma's.

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=jTY0
-----END PGP SIGNATURE-----