Microsoft heeft een ongepatchte zero-day in Office bekendgemaakt die, als deze succesvol wordt misbruikt, kan leiden tot ongeautoriseerde openbaarmaking van gevoelige informatie aan kwaadwillende partijen.
De kwetsbaarheid, gevolgd als CVE-2024-38200 (CVSS-score: 7,5), is beschreven als een spoofingfout die de volgende versies van Office treft:
- Microsoft Office 2016 voor 32-bits editie en 64-bits edities
- Microsoft Office LTSC 2021 voor 32-bits en 64-bits edities
- Microsoft 365 Apps voor Enterprise voor 32-bits en 64-bits systemen
- Microsoft Office 2019 voor 32-bits en 64-bits edities
De ontdekking en melding van de kwetsbaarheid zijn toe te schrijven aan de onderzoekers Jim Rush en Metin Yunus Kandemir.
“Bij een webgebaseerde aanval kan een aanvaller een website hosten (of een gecompromitteerde website gebruiken die door gebruikers verstrekte inhoud accepteert of host) die een speciaal vervaardigd bestand bevat dat is ontworpen om misbruik te maken van de kwetsbaarheid”, aldus Microsoft in een waarschuwing.
“Een aanvaller zou echter geen manier hebben om de gebruiker te dwingen de website te bezoeken. In plaats daarvan zou een aanvaller de gebruiker moeten overtuigen om op een link te klikken, meestal door middel van een verleiding in een e-mail of Instant Messenger-bericht, en de gebruiker vervolgens moeten overtuigen om het speciaal vervaardigde bestand te openen.”
Er wordt verwacht dat er op 13 augustus een officiële patch voor CVE-2024-38200 wordt uitgebracht als onderdeel van de maandelijkse Patch Tuesday-updates, maar de techgigant zei dat er al een alternatieve oplossing is geïdentificeerd die via Feature Flighting is ingeschakeld op 30 juli 2024.
Ook werd aangegeven dat klanten al beschermd zijn op alle ondersteunde versies van Microsoft Office en Microsoft 365, maar dat het voor optimale bescherming essentieel is om een update uit te voeren naar de definitieve versie van de patch zodra deze over een paar dagen beschikbaar is.
Microsoft, dat het gebrek heeft aangemerkt als ‘Exploitation Less Likely’, heeft daarnaast drie strategieën voor het beperken van de kwetsbaarheid uiteengezet:
- Blokkeer TCP 445/SMB uitgaand van het netwerk door gebruik te maken van een perimeterfirewall, een lokale firewall en via VPN-instellingen om te voorkomen dat NTLM-authenticatieberichten naar externe bestandsshares worden verzonden
De onthulling volgt op het feit dat Microsoft heeft aangegeven dat het werkt aan het oplossen van twee zero-day-lekken (CVE-2024-38202 en CVE-2024-21302) die kunnen worden misbruikt om up-to-date Windows-systemen te ‘unpatchen’ en oude kwetsbaarheden opnieuw te introduceren.
Eerder deze week onthulde Elastic Security Labs een aantal methoden waarmee aanvallers schadelijke apps kunnen uitvoeren zonder waarschuwingen in Windows Smart App Control en SmartScreen te activeren. Een daarvan is een techniek genaamd LNK-stopping, die al meer dan zes jaar op grote schaal wordt gebruikt.