Zero-day kwetsbaarheid ontdekt in Microsoft MSDT

Een onderzoeker heeft een zero-day kwetsbaarheid 'Folina' gevonden in Microsoft Support Diagnostic Tool. Met deze nieuwe manier van misbruik in Office-macro's kunnen externe templatebestanden met kwaadaardige code worden ingeladen terwijl de macrofunctionaliteit in Office is uitgeschakeld. zo meldt ncsc.nl

Wanneer een gebruiker het document omzet naar RTF-formaat of wanneer het document in RTF-formaat wordt gedownload, wordt de code ook uitgevoerd in 'Protected view' of 'Preview mode'. Een gebruiker kan via phishing of bijvoorbeeld een link op een website verleid worden dit bestand te downloaden. Voor meer informatie, zie Link.

Er is (nog) geen update beschikbaar om de kwetsbaarheid te verhelpen. Wel kan door middel van een gepubliceerde Defender for Endpoint-query de kwetsbaarheid worden gedetecteerd. Voor meer informatie, zie Link

Ook kan de file type association voor ms-mdt worden verwijderd. Dit kan in de Windows registry HKEY_CLASSES_ROOT\ms-mdt. Hierdoor wordt ms-mdt niet geladen wanneer een kwaadaardig document wordt geopend. Voor meer informatie, zie Link

Daarnaast blijft het advies om enkel Office-bestanden uit bekende en/of vertrouwde bron te openen bestaan. Zet daarnaast niet vertrouwde Office-bestanden niet om in RTF-formaat wanneer hier om wordt gevraagd.