Een nieuwe zero-day Microsoft Word-kwetsbaarheid kan hackers volledige controle over uw computer geven. Zelfs als u een geïnfecteerd bestand niet opent, kan er misbruik worden gemaakt van het beveiligingslek.
Ondanks het feit dat we nog steeds wachten op een oplossing, heeft Microsoft al mits een oplossing voor dit beveiligingslek, dus als u regelmatig MS Office gebruikt, moet u het eens proberen.
Pas op voor de nieuwe kwetsbaarheid in Microsoft Word
Microsoft Word-kwetsbaarheid, Follina genoemd door een van de onderzoekers die het aanvankelijk onderzocht – Kevin Beaumont, die ook een lange post erover – is tot nu toe toegeschreven aan de MSDT-tool. Het werd oorspronkelijk ontdekt op 27 mei via een tweet van nao_sec, hoewel Microsoft er blijkbaar al in april van hoorde. Hoewel er nog geen oplossing voor is uitgebracht, houdt de oplossing van Microsoft in dat de Microsoft Support Diagnostic Tool (MSDT) wordt uitgeschakeld, waarmee de exploit toegang krijgt tot de computer die wordt aangevallen.
Interessante maldoc werd ingediend uit Wit-Rusland. Het gebruikt de externe link van Word om de HTML te laden en gebruikt vervolgens de "ms-msdt" schema om PowerShell-code uit te voeren.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) 27 mei 2022
Het beveiligingslek in Microsoft Word is een fout bij het uitvoeren van externe code in MS Word die voornamelijk .rtf-bestanden treft. Met de functie Sjablonen van MS Word kan het code laden en uitvoeren van externe bronnen, die Follina gebruikt om toegang te krijgen tot de computer en vervolgens een reeks opdrachten uitvoert die MSDT openen. Onder normale omstandigheden kunnen Windows-gebruikers Microsoft Diagnostic Tool for Windows (MSDT) gebruiken om verschillende problemen probleemloos op te lossen. Helaas, omdat deze tool ook externe toegang tot uw computer geeft, helpt het de exploit bij het overnemen ervan.
De exploit kan zelfs werken als u het bestand niet opent in het geval van .rtf-bestanden. Follina kan worden gestart zolang je het bekijkt in Verkenner. Zodra de aanvaller uw computer via MSDT heeft gecompromitteerd, hebben ze carte blanche om ermee te doen wat ze willen. Ze kunnen schadelijke software downloaden, gevoelige gegevens lekken en meer.
Beaumont heeft in het verleden verschillende Follina-voorbeelden toegevoegd, inclusief hoe het al is gebruikt en ontdekt in verschillende bestanden. Financiële afpersing is slechts een van de vele dingen waarvoor deze exploit wordt gebruikt. Natuurlijk – u wilt dit niet op uw pc.
Wat te doen totdat Microsoft een patch uitbrengt?
Er zijn een paar dingen die u kunt doen om de Microsoft Word-kwetsbaarheid te voorkomen totdat het bedrijf een patch uitbrengt om het te repareren. De officiële oplossing, zoals de zaken er nu voor staan, is de tijdelijke oplossing; we weten niet zeker wat er nog meer zal komen.
Controleer om te beginnen of uw Office-versie een van de versies is die wordt getroffen door de Microsoft Word-kwetsbaarheid. De bug is tot nu toe ontdekt in Office 2013, 2016, 2019, 2021, Office ProPlus en Office 365. Het is niet bekend of oudere versies van Microsoft Office beschermd zijn; daarom is het belangrijk om verdere voorzorgsmaatregelen te nemen om jezelf te beschermen.
Het is geen slecht idee om het gebruik ervan te vermijden. doc-, .docx- en.rtf-bestanden voorlopig als u dat kunt doen. Overweeg om te migreren naar cloudgebaseerde services zoals Google Documenten. Accepteer en download alleen bestanden van 100 procent geïdentificeerde bronnen – wat in het algemeen een goede vuistregel is. Trouwens, je kunt alles wat je moet weten over Microsoft Office 2021 ontdekken door ons artikel te bezoeken.
Volg ten slotte de instructies van Microsoft over het uitschakelen van MSDT. U moet de opdrachtprompt openen en deze als beheerder uitvoeren en vervolgens een paar instructies typen. Als alles goed gaat, ben je veilig voor Follina. Houd er echter rekening mee dat voorzichtigheid altijd geboden is.
Hieronder delen we de nodige stappen om het MSDT URL-protocol uit te schakelen, geleverd door Microsoft:
Als u het MSDT URL-protocol uitschakelt, wordt voorkomen dat probleemoplossers worden gestart als koppelingen, inclusief koppelingen in het hele besturingssysteem. Probleemoplossers zijn nog steeds toegankelijk via de Hulp applicatie krijgen en in systeeminstellingen als andere of aanvullende probleemoplossers. Volg deze stappen om uit te schakelen:
- Rennen Opdrachtprompt net zo Beheerder.
- Om een back-up van de registersleutel te maken, voert u de opdracht “reg export HKEY_CLASSES_ROOTms-msdt bestandsnaam“
- Voer het commando “reg delete HKEY_CLASSES_ROOTms-msdt /f” uit.
De tijdelijke oplossing ongedaan maken?
Rennen Opdrachtprompt net zo Beheerder.
Om de registersleutel te herstellen, voert u de opdracht “reg import” uit bestandsnaam”
Microsoft is niet het enige slachtoffer van cyberaanvallen, hackers proberen zich bijvoorbeeld op Europese functionarissen te richten om informatie te krijgen over Oekraïense vluchtelingen, voorraden.