Microsoft Rilis Patch Kerentanan Zero-Day Exploit Microsoft Office

Patch Microsoft Office Zero Day Exploit - Microsoft keluarkan peringatan pada hari Senin mengenai kerentanan microsoft office zero day exploit yang baru ditemukan di rangkaian produktivitas Office-nya. Kerentanan ini dikenal sebagai CVE-2022-30190, memiliki peringkat keparahan 7,8 dari 10 menurut CVSS. Produk Office yang terkena dampak termasuk Office 2013, Office 2016, Office 2019, dan Office 2021, serta edisi Professional Plus.

Juru bicara Microsoft menyatakan, "Untuk melindungi pelanggan, kami telah merilis CVE-2022-30190 dan memberikan saran lebih lanjut di sini."

Kerentanan Follina, yang baru ditemukan, melibatkan serangan dunia nyata yang menggunakan celah dalam dokumen Word yang dipersenjatai untuk mengeksekusi kode PowerShell sewenang-wenang dengan memanfaatkan skema URI "ms-msdt:". Sampel yang diunggah ke VirusTotal dari Belarus.

Namun, indikasi paling awal dari eksploitasi cacat tersebut terjadi pada 12 April 2022, ketika sampel kedua ditambahkan ke basis data malware. Artefak ini diperkirakan telah menargetkan pengguna Rusia dengan dokumen Word berbahaya ("приглашение на интервью.doc") yang menyamar sebagai undangan wawancara dari Sputnik Radio.

"Ketika MSDT dihubungi melalui protokol URL dari aplikasi panggilan seperti Word, kerentanan remote code execution terjadi," kata Microsoft dalam penasehat untuk CVE-2022-30190.

"Seorang penyerang yang berhasil mengeksploitasi kerentanan ini dapat mengeksekusi kode arbitrer dengan hak istimewa aplikasi pemanggil. Dalam konteks yang diizinkan oleh izin pengguna, penyerang dapat menginstal aplikasi, membaca, mengubah, atau menghapus data, atau membuat akun baru."

Anggota Shadow Chaser Group, Crazyman, mendapat pujian karena melaporkan bug ini pada 12 April, menunjukkan bahwa Microsoft telah mengetahui kerentanan sebelum terjadi serangan.

lol https://t.co/pgoQzDzgAf pic.twitter.com/boN5FVnGfn

— crazyman_army (@CrazymanArmy) May 30, 2022

Menurut tangkapan layar yang dibagikan di Twitter oleh peneliti, Microsoft menutup laporan pengiriman kerentanan pada 21 April 2022 dan menyatakan bahwa "masalah telah dipatch," sementara juga mengabaikan bug itu sebagai "bukan masalah keamanan" karena memerlukan kunci sandi yang disediakan. oleh teknisi support saat memulai alat diagnostik.

Selain menerbitkan aturan deteksi untuk Microsoft Defender for Endpoint, perusahaan yang berbasis di Redmond telah menyertakan solusi dalam panduannya untuk menonaktifkan protokol URL MSDT melalui modifikasi Windows Registry.

Microsoft menjelaskan, "Jika aplikasi panggilan adalah aplikasi Microsoft Office, secara default, Microsoft Office membuka dokumen dari internet di Protected View atau Application Guard for Office, keduanya mencegah serangan ini."

Ini bukan pertama kalinya skema protokol Microsoft Office seperti "ms-msdt:" diteliti untuk kemungkinan penyalahgunaan. Awal bulan lalu, perusahaan keamanan siber Jerman SySS mengungkapkan cara membuka file secara langsung menggunakan URL yang dibuat khusus seperti "ms-excel:ofv|u|https://192.168.1.10/poc[.]xls."