Przekazujemy zbiór informacji o krytycznej podatności dotyczącej Microsoft Office – w dniu 30 maja 2022 roku dostaliśmy niechciany prezent, prawie na Dzień Dziecka ☹
Już tłumaczymy – mamy nową podatność systemu operacyjnego ze stajni Microsoft o numerze CVE-2022-30190, na którą jeszcze nie ma (na dzisiaj) kompletnego lekarstwa tzw. „łatki”.
Dlatego trzeba jeszcze bardziej uważać na otrzymywane pliki tekstowe np. doc, docx, itp. otwierane przy pomocy Microsoft Word.
Po pierwsze warto przekazać tę informację pracownikom oraz informatykom w firmie.
Wyjaśnienie mechanizmu: do tej pory, przeważnie zainfekowane pliki pakietu Microsoft Office wykorzystywały tzw. makra. Nowa podatność 0day o nazwie „Follina” działa inaczej – wystarczy kliknąć i otworzyć plik tekstowy (np. docx), aby uruchomić niebezpieczny skrypt. W skrócie działa to tak, że otwarcie dokumentu Word powoduje pobranie zewnętrznego pliku HTML, który zawiera instrukcję wykonującą polecenie msdt.exe. Co prowadzi do uruchomienia systemowego narzędzia MSDT* (Może troszkę wyjaśnień: msdt.exe to aplikacja w systemie operacyjnym Microsoft Windows np. Windows 10, Windows Server i innych systemach operacyjnych Windows, jedna z wielu narzędzi diagnostycznych, która umożliwia wprowadzenie klucza dostępu, który teoretycznie podaje pracownik pomocy technicznej Microsoftu) do przesyłania, za pomocą którego można wykonać dowolny kod w PowerShellu (kolejne wyjaśnienie: PowerShell to kolejna aplikacja wykorzystywana przez Microsoft), gdzie każda funkcja dostępna przez tzw. API systemu jest możliwa do wywołania z PowerShell.
Wnioski: w myśl “Dla chcącego nic trudnego” crackerzy po uruchomieniu przez użytkownika zainfekowanego pliku – robią co chcą na naszym komputerze posiadającym opisaną lukę, wykorzystując wszystko na co pozwala skrypt PowerShell. Co daje ta nowa luka cracerom/cyberprzestępcom? W dużym stopniu zależy to wyłącznie od ich wyobraźni i umiejętności.
Oby jak najszybciej Microsoft dał nam lekarstwo naprawiające nasze systemy operacyjne.
Państwa informatycy powinni sprawdzać czy jest już aktualizacja systemu łatająca tę lukę bezpieczeństwa, a jeżeli mamy możliwości to jednym z zaleceń jest np. wyłączenie protokołu MSDT URL. Więcej informacji dla informatyków można znaleźć np. https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
Dodatkowe informacje o tej podatności można znaleźć pod linkiem: https://sekurak.pl/krytyczna-podatnosc-0day-w-microsoft-office-po-otwarciu-dokumentu-mozna-przejac-komputer-cve-2022-30190-follina/
Informatycy, ale nie tylko 😉 mogą przeglądać najnowsze doniesienia o wykrytych podatnościach Microsoft na stronie https://msrc.microsoft.com/update-guide/vulnerability
W wolnym czasie polecamy przeglądanie stron sekurak.pl, zaufanatrzeciastrona.pl, czy niebezpiecznik.pl oraz ich fanpagów na FB czy LinkedIn – informujących między innymi o bieżących zagrożeniach IT.
Życzymy bezpiecznego przetwarzania danych osobowych 😉
Zespół Inspektorów Ochrony Danych Pure Quality sp.j.
Aby zapewnić jak najlepsze wrażenia, korzystamy z technologii, takich jak pliki cookie, do przechowywania i/lub uzyskiwania dostępu do informacji o urządzeniu. Zgoda na te technologie pozwoli nam przetwarzać dane, takie jak zachowanie podczas przeglądania lub unikalne identyfikatory na tej stronie. Brak wyrażenia zgody lub wycofanie zgody może niekorzystnie wpłynąć na niektóre cechy i funkcje. Więcej w Centrum Prywatności.