Microsoft Support Diagnostic Tool -diagnostiikkatyökalusta (MSDT) paljastunutta nollapäivähaavoittuvuutta on hyväksikäytetty jo seitsemän viikon ajan, kertoo Ars Technica. Haavoittuvuuden avulla hyökkääjät voivat suorittaa komentoja etänä haitallisten Microsoft Word -dokumenttien kautta. Haavoittuvuuteen ei ole olemassa vielä pysyvää korjausta.
Ensimmäisen kerran haavoittuvuudesta ilmoitettiin Microsoftille 12. huhtikuuta, jolloin nollapäivähaavoittuvuus oli jo aktiivisen hyväksikäytön kohteena, kertovat Shadow Chaser -ryhmän tutkijat Twitterissä. Microsoft ilmoitti kuitenkin 21. huhtikuuta, ettei Microsoftin Security Response Center -ryhmä pitänyt havaintoa haavoittuvuutena. Ryhmän mukaan MSDT-diagnostiikkatyökalu vaati salasanan ennen kuin sen avulla pystyi ajamaan työkuormia.
Microsoftin suunta muuttui kuitenkin maanantaina, kun se varoitti havainnoista ensimmäisen kerran. Yhtiö myös myönsi, että havaittu toiminta johtui sittenkin vakavasta haavoittuvuudesta.
Haavoittuvuuden CVE-tunniste on CVE-2022-30190. Lisäksi sille on määritetty CVSS3 pisteytyksessä arvosana 7.8, kertoo Traficomin Kyberturvallisuuskeskus. Hyväksikäyttöön riittää dokumentin esikatselu Microsoft Explorer -näkymässä tai haittakoodia sisältävän dokumentin avaaminen.
Haavoittuvuus koskee Microsoft Windows 7 -ohjelmistoa sekä sitä uudempia aina Windows 11 -ohjelmistoon asti.
Haavoittuvuudelta voi suojautua käyttämällä Microsoftin tarjoamia ”Protected View”- ja ”Application Guard”-ominaisuuksia. Myös jotkin haittaohjelmien havainnointityökalut havaitsevat haavoittuvuuden hyväksikäyttöyrityksiä. Näitä ovat esimerkiksi Microsoft Defender Antivirus ja Microsoft Defender for EndPoint.
Vaikka haavoittuvuudelle ei löydy vielä pysyvää korjausta, voi sen hyväksikäyttöä rajoittaa. Microsoft suosittelee käyttäjiä kytkemään MSDT URL -protokollan pois päältä. Lisäohjeita löytyy Microsoft Security Response Center -ryhmän sivuilta. Haavoittuvuudesta johtuen vieraista lähteistä saatuihin dokumentteihin on syytä suhtautua erityisellä varovaisuudella.
