Er is een zeroday-kwetsbaarheid gevonden die kwaadwilligen via Microsoft Office kan toelaten om code vanop afstand uit te voeren. De kwetsbaarheid wordt al door hackers uitgebuit en er is momenteel nog geen patch voorhanden om het lek te dichten. We raden je daarom aan om extra waakzaam te zijn en de nodige stappen te ondernemen om je IT-omgeving te beschermen.

Waarover gaat het precies?

De kwetsbaarheid staat bekend onder de naam Follina en kreeg de code CVE-2022-30190 mee. Het lek bevindt zich in de Microsoft Support Diagnostic tool in alle versies van Windows, en maakt het voor hackers mogelijk om code op afstand uit te voeren met dezelfde rechten als de gebruiker van het toestel, wat in het geval van een gebruiker met administrator-rechten heel grote gevolgen kan hebben. We raden dan ook altijd af om in te loggen op een toestel als administrator.

Toestellen kunnen worden besmet vanuit een schadelijk Office-document (bv. een word-document), van waaruit code wordt geactiveerd via de Microsoft Support Diagnostic tool. De aanval vanuit het Office-document kan ook worden geactiveerd als macro's in Word zijn uitgeschakeld, en in het geval van een rtf-document hoeft de gebruiker het document zelfs niet eens te openen (enkel via de previewer bekijken) om de aanval te triggeren.

Bovendien wordt een schadelijk document meestal niet herkend als een verdacht bestand, omdat de schadelijke code niet in het document zelf zit, enkel een referentie ernaartoe.

Hou je IT-omgeving veilig

Er bestaat vandaag nog geen patch om deze kwetsbaarheid te remediëren. Bovendien kan de aanval niet door alle antivirussystemen gedetecteerd worden. Verhoogde waakzaamheid is daarom de boodschap! EDR-systemen zoals Microsoft Defender for Endpoint en FortiEDR detecteren Follina gelukkig wel. Ook Symantec bevestigt intussen dat het deze aanval kan detecteren.

Om, in afwachting van een fix van Microsoft, te vermijden dat je systemen worden aangevallen, raadt Microsoft aan om een aanpassing door te voeren in de registry van elk toestel waarop Office draait. Via deze aanpassing zorg je ervoor dat de kwaadwillige code niet langer kan worden uitgevoerd. Meer info over hoe je deze registry-aanpassing kan doorvoeren in jouw IT-omgeving, vind je hier.

Savaco helpt je graag

Je kan uiteraard ook op Savaco rekenen om je te helpen je omgeving te beschermen. Contacteer dus gerust onze Service Desk of je Services Manager voor het aanpassen van je registry-instellingen.

Heb je hierover bijkomende vragen? Ook dan kan je terecht bij onze Service Desk.