SØK
TRUSSELVURDERING (TLP:CLEAR)

[JustisCERT-varsel] [#043-2022] [TLP:CLEAR] Nulldagssårbarhet i Microsoft Windows Support Diagnostic Tool (MSDT)

31-05-2022

JustisCERT ønsker å varsle om en nulldagssårbarhet (CVE-2022-30190 med CVSS-score 7.8) som berører Microsoft Windows Support Diagnostic Tool (MSDT). Sårbarheten er også kjent under navnet «Follina» og tillater en angriper å kjøre vilkårlig kode via MSDT.exe fra et program (f.eks. Word) via URL-protokollen. [1]

 

Det er observert fungerende angrepskode i filtypene .rtf, .doc og .docx, men andre filtyper kan også være utsatt. Filene må åpnes (f.eks. i Microsoft Office/Office 365) for at angrepskoden skal kjøre, men enkelte filtyper (som .rtf) vil også kjøre angrepskoden automatisk dersom den skadelige filen markeres i «File Explorer»/«Utforsker» og «Preview pane»/«Forhåndsvinsningsrute» er slått på.

 

Microsoft Defender har signaturer som bidrar til å beskytte mot utnyttelse av CVE-2022-30190.

 

Microsoft har publisert migrerende tiltak [2] som innebærer å slette registry-innstillinger for MSDT. JustisCERT anbefaler at man heller deaktiverer MSDT via policy (se anbefalinger) for å hindre at sårbarheten kan utnyttes. Det er ikke kjent om/når Microsoft vil komme med en oppdatering som retter sårbarheten.

 


Berørte produkter er blant annet:

  • Windows 7
  • Windows 8.1
  • Windows 10
  • Windows 11
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 20H2
  • Windows Server 2022

 


Anbefalinger:

  • Deaktiver MSDT med en GPO i Active Directory (for de som har on-prem AD-joined klienter og servere)
    1. Logg inn på domenekontroller
    2. Start «Group Policy Manager Editor»
    3. Gå til «Computer Configuration» > Policies > «Administrative Templates» > System > «Troubleshooting and Diagnostics» > «Scripted Diagnostics»
    4. Endre verdien «Troubleshooting: Allow users to access and run Troubleshooting Wizards» til «Disabled»

 

  • Deaktiver MSDT med Endpoint Manager/Intune (for de som har Azure AD/Hybrid Azure AD-joined klienter og servere)
    1. Logg inn som «Global admin» på https://endpoint.microsoft.com
    2. Gå til Devices > Windows > «Configuration profiles»
    3. Trykk «Create profile»
    4. Sett «Platform» til «Windows 10 and later» og «Profile type» til «Templates» og velg «Administrative Templates»
    5. Trykk «Create» > Gi profilen et navn (f.eks. MSDT) og trykk «Next»
    6. Velg «System» > «Troubleshooting and Diagnostics» > «Scripted Diagnostics»
    7. Velg «Troubleshooting: Allow users to access and run Troubleshooting Wizards»
    8. Sett verdien til «Disabled» > «OK» > «Next» > «Next»
    9. Definer hvem profilen skal være gjeldene (f.eks. «All devices») > «Next» > «Create»

 

  • Brukere av Windows Defender bør aktivere «Cloud-delivered protection» for ekstra beskyttelse
  • Brukere av andre AV/EDR-løsninger bør sjekke at siste versjon benyttes, at automatiske oppdateringer er aktivert og at andre funksjoner som kan bidra til å beskytte er skrudd på
  • Sørg for at følgende sikkerhetsfunksjoner benyttes i Office:
    • Aktiver beskyttet visning for filer som kommer fra Internett (er aktivert som standard, men bør settes via policy slik at brukere ikke kan skru den av)
    • Aktiver beskyttet visning for filer som finnes på potensielt usikre plasseringer (er aktivert som standard, men bør settes via policy slik at brukere ikke kan skru den av)
    • Aktiver beskyttet visning for Outlook-vedlegg (er aktivert som standard, men bør settes via policy slik at brukere ikke kan skru den av)
    • Deaktiver muligheten for å kjøre makroer i alle Office-installasjoner (tillat eventuelt kun makroer som er signert av virksomheten selv)
    • Deaktiver muligheten for å kjøre ActiveX i alle Office-installasjoner

 

  • Patch/oppdater berørte produkter så snart oppdatering foreligger
  • Skru på automatisk oppdatering der det er mulig
  • Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
  • Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [3]
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [4]

 


Kilder:
[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
[2] https://aka.ms/CVE-2022-30190-Guidance
[3] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016
[4] https://nsm.no/grunnprinsipper-ikt

 

Annet: