Af Eskil Sørensen, 08/09/21
Et igangværende angreb på Office 365 har fået Microsoft til at udsende en vejledning i, hvordan risikoen for angreb afhjælpes. Dette indtil en evt. sikkerhedsopdatering er tilgængelig.
Virksomheden anbefaler, at Windows systemadministratorer deaktiverer installationen af alle ActiveX -kontroller i Internet Explorer for at afbøde angrebet. En opdatering af Windows-registreringsdatabasen sikrer, at ActiveX gøres inaktiv for alle websteder, mens allerede tilgængelige ActiveX-kontroller fortsat fungerer. Vejledning hertil fremgår af Microsofts advisory.
Et angreb kan således imødegås, hvis Microsoft Office kører med en konfigurationen, hvor dokumenter fra internettet åbnes i tilstanden ’Beskyttet visning’ eller Application Guard til Office 365. ’Beskyttet visning’ er en skrivebeskyttet tilstand, hvor de fleste redigeringsfunktioner er deaktiveret, mens Application Guard isolerer upålidelige dokumenter og nægter dem adgang til virksomhedens ressourcer, intranettet eller andre filer på systemet.
Har man Microsofts Defender Antivirus og Defender for Endpoint (version 1.349.22.0 og nyere) er man ifølge Microsofts advisory beskyttet mod forsøg på udnyttelse af sårbarheden. I givet fald vises en advarsel om angrebet som ’Suspicious Cpl File Execution’.
Opdatering kommer måske til Patch Tuesday
Ifølge Security Week oplyser Microsoft, at man vil tage de ’nødvendige foranstaltninger’ for at beskytte kunderne. Det omfatter udsendelse af en mulig sikkerhedsopdatering gennem Patch Tuesday, hvor den næste er tirsdag den 14. september. Dog skriver Microsoft også, at der kan udsendes en out-of-band sikkerhedsopdatering, afhængigt af kundernes behov.
Ifølge Security Week er det det 62. bekræftede og dokumenterede 0-dags angreb hidtil i 2021. 20 af disse er sket via kode fra Microsoft.
Links:
https://www.securityweek.com/microsoft-office-zero-day-hit-targeted-attacks
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444