Zero-day kwetsbaarheid Follina

Zero-day kwetsbaarheid Follina

Op 27 mei 2022 werd een kwaadaardig Worddocument onderschept door een Japans cybersecurity-onderzoeksteam. Dit Worddocument maakt gebruik van externe sjablonen om PowerShell-commando’s uit te voeren en houdt dus veel risico’s in voor de eindgebruiker. Op 30 mei kwam er een officieel bericht van het Microsoft Security Response Center (MSRC), die deze kwetsbaarheid erkende als CVE-2022-30190, die ook wel Follina wordt genoemd. We vertellen je wat deze kwetsbaarheid precies inhoudt, of je je zorgen moet maken en wat ConXioN ertegen doet.

Wat is Follina?

Follina is een zero-day kwetsbaarheid. Dat wil zeggen dat de ontwikkelaar deze kwetsbaarheid nog niet kon verhelpen en er dus nog geen update voor is. Aanvankelijk werd deze kwetsbaarheid beschreven als een zero-day in Microsoft Office, maar na de officiële mededeling van Microsoft blijkt het om een zero-day in de Microsoft Support Diagnostic Tool (MSDT) te gaan. Dit is een tool die ingebakken zit in Windows om diagnostische informatie te versturen naar Microsoft Support.

 

De kwetsbaarheid is een ‘remote code execution’: een kwetsbaarheid die ervoor zorgt dat een hacker van op afstand commando’s kan sturen naar jouw computer, waarmee bijvoorbeeld een toestel kan worden overgenomen.

Hoe werkt Follina en is het gevaarlijk?

Deze kwetsbaarheid binnen MSDT komt voor wanneer bijvoorbeeld een Worddocument gebruik maakt van de remote template feature om een HTML-bestand te downloaden van een server. Vervolgens wordt het MSDT URL scheme gebruikt om commando’s uit te voeren. Hierdoor kan een aanvaller code uitvoeren op jouw computer. Dat gebeurt met dezelfde privileges/permissies als van de applicatie die het verzoek deed.

 

Deze kwetsbaarheid creëert veel mogelijkheden voor de hacker. Zo kan er software op jouw toestel worden geïnstalleerd, of kan data worden ingekeken, veranderd of verwijderd. Daarnaast kunnen er nieuwe gebruikers of een backdoor worden aangemaakt, waardoor de cybercriminelen ook nadat de kwetsbaarheid verholpen is nog toegang kunnen krijgen tot je toestel.

 

Volgens Microsoft treft deze kwetsbaarheid de volgende besturingssystemen: Windows 7, Windows 8.1, Windows 10, Windows 11, Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019 en Windows Server 2022. Je hoeft je gelukkig nog niet meteen zorgen te maken. Er moet immers eerst een bestand op de computer een verzoek doen aan MSDT (bijvoorbeeld een kwaadaardig Worddocument) en vervolgens geopend worden door de gebruiker. Pas dan kan de kwetsbaarheid uitgebuit worden door cybercriminelen.

 

Het spreekt dan ook voor zich dat deze kwetsbaarheid vermoedelijk misbruikt zal worden in bijvoorbeeld phishingmails. Daarbij kan de hacker zich voordoen als iemand anders – een bekende, een persoon binnen je organisatie of een bedrijf dat je vertrouwt – en een kwaadaardig Worddocument als bijlage toevoegen, in de hoop dat je het zal openen.

 

Op basis van al deze informatie kreeg deze kwetsbaarheid een CVSS-score van 7,8 op 10, wat zich vertaalt naar high severity.

Bron: BenQ

Wat doet ConXioN?

Van zodra Microsoft een security-update heeft uitgebracht, zal ConXioN deze kwetsbaarheid patchen op alle toestellen die in ons beheer zijn.

 

In tussentijd houdt SentinelOne de wacht. Deze geavanceerde antivirus detecteert en stopt de aanval meteen. Benieuwd naar hoe dit in zijn werk gaat? Bekijk dan de video van SentinelOne:

Daarnaast voorziet Microsoft een tijdelijke workaround, waarbij je de register-key ‘HKEY_CLASSES_ROOT\ms-msdt’ verwijdert. Hierover vind je meer informatie op de blog van Microsoft.

 

Heb je nog vragen? Dan kan je ons securityteam steeds contacteren.

Jonathan Claeskens, Cyber Security Engineer

Jonathan Claeskens is een van ConXioN’s Cyber Security Engineers. Je vindt hem hard aan het werk om jouw veiligheid te garanderen, op zoek naar de nieuwste securitytrends of terwijl hij jouw werknemers opleidt op vlak van security.