Microsoft har utfärdat en out of band emergency patch som adresserar en aktivt utnyttjad Microsoft Office zero day-sårbarhet, spårad som CVE202621509. Felet är en säkerhetsfunktion som gör det möjligt för angripare att kringgå COM/OLE-baserade begränsningar i Microsoft 365 och Microsoft Office.
Sårbarheten utnyttjas för närvarande i naturen och har lagts till i CISA: s katalog över kända exploaterade sårbarheter (KEV), vilket ökar brådskan för avhjälpande.
Detaljer om sårbarheten -
CVE202621509
- Typ: Förbikoppling av säkerhetsfunktion
- Allvarlighetsgrad: CVSS 7.8 (hög )
Orsak till problemet
- Microsoft identifierar problemet som "beroende av icke betrodda ingångar i ett säkerhetsbeslut", vilket gör det möjligt för angripare att kringgå OLE-skydd.
Attackvektor -
- Hotaktörer måste skicka en speciellt utformad Office-fil.
- Attackens framgång beror på användarinteraktion - mottagaren måste övertygas om att öppna filen.
- Förhandsgranskningsfönstret är inte en vektor, vilket minskar risken via passiv exponering.
Exploatering i det vilda
Microsoft erkänner att sårbarheten utnyttjas aktivt, men detaljer om kampanjens omfattning, hotaktörens tillskrivning eller TTP förblir inte avslöjade. Problemet upptäcktes internt av MSTIC, MSRC och Office Product Group Security Team
Konsekvenser
Potentiella effekter
- Omkoppling av OLE-säkerhetskontroller
- Exekvering av skadliga COM/OLE-komponenter
- Leverans av sekundära nyttolaster
- Tillgång till inloggningsuppgifter genom skadliga arbetsflöden för dokument
- Ökad exponering i företagsmiljöer där Office-makron och inbäddade komponenter är vanliga
Exponering för företag
Organisationer förblir i förhöjd risk om:
- Användare ofta får externa Office-filer
- Äldre Office-distributioner (2016/2019) fortfarande är aktiva
- Dokumentarbetsflöden förlitar sig på inbäddad OLE- eller COM-baserad automatisering
Begränsning och korrigeringar
Microsoft har skickat ut nöduppdateringar för:
- 64bitarsversionen: 16.0.10417. 20095
- 32 bitars version: 16.0.5539. 1001
- 64 bitars version: 16.0.5539. 1001
Automatiskt skydd
- Användare av Office 2021 och senare är skyddade via en ändring på servicesidan menmåste starta om sina Office-program för att skyddet ska aktiveras.
Rekommendationer - Omedelbar åtgärd
Omedelbar åtgärd
- Distribuera nödkorrigeringarna till alla Office-installationer (prioritet 2016/2019).
- Genomdriv omstart av Office-applikationer för 2021/Microsoft 365-användare.
Om du är orolig för något av de hot som beskrivs i den här bulletinen eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kontoansvarige, eller alternativt kontaktaoss för att ta reda på hur du kan skydda din organisation.