Toukokuun loppupuolella, tarkemmin sanottuna 27.5.2022, eräs tietoturvatutkija julkaisi löydökset ja todisteet hyökkäysmenetelmästä, jossa hän hyödynsi uutta ja aiemmin ei julkisessa tiedossa ollutta Microsoft Office-komponenttiin liittyvää nollapäivähaavaa. Kyseinen haava löytyy Office-paketin Microsoft Support Diagnostic Tool (msdt.exe) ohjelmistosta, ja tällä hetkellä sille ei ole olemassa korjausversiota. Kyseinen ohjelmisto löytyy kaikista Microsoft Office 2013 ja sitä uudemmista paketeista. Haavoittuvuudella on CVE-numero CVE-2022-30190, jonka vakavuusaste on määritelty korkeaksi. Kyseistä haavoittuvuutta pyritään juuri nyt aktiivisesti hyödyntämään eri hyökkäystahojen toimesta.
Paikkaamatonta haavaa voidaan hyödyntää hyvin helposti. Siihen ei tarvita kuin tietyllä tavalla muokattu Word-tiedosto, jonka rakenne mahdollistaa hyökkääjälle Powershell-komentojen ajamisen kohteessa. Tällainen tiedosto lähetetään halutuille loppukäyttäjille hyvin uskottavan näköiseltä sähköpostin lähettäjältä, ja hyvin tyypillisesti MS365:n välityksellä, postin liitetiedostona, tai linkkinä johonkin ulkoiseen ja luotettavalta näyttävään palveluun. Tyypillisesti nämä linkit johtavat Microsoft OneDrive for Business -pilvipalveluun, tai siltä ulkoisesti näyttävään palveluun.
Haavoittuvuuden paikkaaminen
Koska haavoittuvuuteen ei vielä ole olemassa virallista paikkausversiota, niin kiireellisenä toimenpiteenä suositellaan seuraavien, Microsoft-ympäristöihin tarkoitettujen torjuntamenetelmien käyttöönottamista:
- MSDT URL-protokollan ottaminen pois päältä. Tämä vaatii administrator-tason käyttäjätunnusta, ja osaamista Windows-rekisteriavaimien modifiointiin.
- Tiettyjen Microsoft Windows Defender Antivirus (MDAV) ominaisuuksien aktivointia.
- Blokkisäännön tekemistä Microsoftin Defender for Endpoint (EDR) päätelaitesuojaukseen
- Koska tämä hyökkäysyritys tapahtuu suurella todennäköisyydellä Microsoft 365-sähköpostin välityksellä, niin kannattaa hyödyntää Microsoft 365 Business Premium-lisenssiin kuuluvan Microsoft Defender for Office 365 Plan P1 sandboxin ominaisuuksia. Sama koskettaa myös Enterprise E5-lisenssiä, ja siinä olevaa Microsoft Defender for Office 365 Plan P2:sta.
Lisätietoja yllä olevista menetelmistä löytyy Microsoft Security Response Centerin julkaisusta: https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
Follina hyökkäys Teamsin, M365 ja Googlen välityksellä
Luonnollisesti hyökkäys voi tulla myös muiden menetelmien kuin Microsoft 365-sähköpostin tai Teamsin kautta, esimerkiksi Google Workspacen, Gmailin tai yleensä jaettavien linkkien kautta. On myös selvää, että päätelaitesuojaus voi olla jotakin aivan muuta kuin Microsoftin omat tuotteet. Tällöin pitää varmistaa seuraavat asiat:
EDR-tason päätelaitesuojaus
Varmista että käytössäsi on sellainen EDR-tason päätelaitesuojaus, jolla on mahdollisuus havaita ja suojata päätelaitteita tällaiselta hyökkäykseltä, jopa suoraan suosituskonfiguraatioilla, ilman mitään uusia sääntöjä. Tällainen on esimerkiksi CrowdStrike Falcon, https://www.crowdstrike.com/
Sähköpostiympäristöjen lisäsuojaus
Käytä aina sähköpostiympäristöjen lisäsuojaamiseen tarkoitettuja kolmannen osapuolen ratkaisuja, jotka toimivat sekä Microsoft 365- että Google Workspace-ympäristöissä, ja jotka huomaavat jotakin sellaista, mikä natiiveilta järjestelmiltä yksinkertaisesti vain jää huomaamatta. Tällainen on esimerkiksi Avanan Email Security, https://www.avanan.com/
