Cyberkriminella har hittat ett nytt fel i Microsoft Word-dokument (öppnas i en ny flik) som gör att de kan distribuera skadlig programvara (öppnas i en ny flik), säger forskare.
Upptäckt av cybersäkerhetsexperten Kevin Beaumont och med smeknamnet "Follina", utnyttjar hålet ett Windows-verktyg som heter msdt.exe, som är utformat för att köra olika felsökningspaket på Windows.
Enligt rapporten, när offret laddar ner den beväpnade Word-filen behöver de inte ens köra den, bara förhandsgranska den i Windows Explorer för att verktyget ska missbrukas (det måste dock vara en RTF-fil).
Genom att missbruka det här verktyget kan angripare tala om för målslutpunkten att anropa en HTML-fil från en fjärr-URL. Angriparna valde xmlcom-format, troligen för att försöka gömma sig bakom den liknande utseende men legitima domänen openxmlformats.org som används i de flesta Word-dokument, föreslår forskarna.
känna igen hotet
HTML-filen innehåller mycket "skräp", vilket skymmer dess verkliga syfte: ett skript som laddar ner och kör en nyttolast.
Rapporten säger nästan ingenting om den faktiska nyttolasten, vilket gör det svårt att peka ut hotaktörens slutspel. Han säger att hela kedjan av händelser relaterade till proverna som offentliggjordes inte är känd ännu.
Efter publiceringen av fynden erkände Microsoft hotet och sa att det finns en sårbarhet för fjärrkörning av kod "när MSDT anropas med URL-protokollet från ett anropande program som Word."
"En angripare som lyckades utnyttja den här sårbarheten kunde exekvera godtycklig kod med privilegierna för det anropande programmet. Angriparen kan sedan installera program, visa, ändra eller ta bort data eller skapa nya konton inom ramen för användarrättigheter.
Medan vissa antivirusprogram (öppnas i en ny flik) som Sophos redan kan upptäcka denna attack, har Micorosft också släppt en begränsningsmetod, inklusive inaktivering av MSDT URL-protokollet.
Även om detta kommer att förhindra felsökare från att starta som länkar, kan de fortfarande nås via Get Help-appen och i systeminställningarna. För att aktivera den här lösningen måste administratörer göra följande:
Kör kommandotolken som administratör.
För att säkerhetskopiera registernyckeln, kör kommandot "reg export HKEY_CLASSES_ROOTms-msdt filename"
Kör kommandot "reg delete HKEY_CLASSES_ROOTms-msdt /f".