Microsoft heeft in zijn nieuwe patchronde, oftewel patch tuesday, in totaal 53 kwetsbaarheden verholpen, waarvan 25 rce-lekken. Daaronder is een lek in Office, dat aanwezig is in de zogenaamde equation editor.

Het lek in kwestie, met kenmerk CVE-2017-11882, maakt het volgens Microsoft mogelijk om op afstand code uit te voeren door de manier waarop Office omgaat met geheugenobjecten. Als de gebruiker van het kwetsbare systeem een beheerder is, kan een aanvaller het overnemen. Een aanval is uit te voeren met behulp van een kwaadaardig bestand dat is gemaakt in Office of WordPad. Microsoft noemt de mogelijkheid dat een aanvaller het bestand bijvoorbeeld via een link in een e-mail bij een doelwit krijgt. Er zou momenteel geen actief misbruik van het lek plaatsvinden.

Beveiligingsbedrijf Embedi, dat de kwetsbaarheid ontdekte, heeft een blogpost en een rapport aan de analyse ervan gewijd. Het bedrijf bekeek verouderde onderdelen van Microsoft Office, waaronder de equation editor voor het bewerken van vergelijkingen in documenten. De tool had een functie in Office 2000 en 2003, en was eigenlijk achterhaald in oudere versies van de software.

Toch bleef de tool aanwezig om compatibiliteitsredenen, aldus Embedi. Onderzoekers kwamen erachter dat het mogelijk was om een buffer overflow teweeg te brengen en zo tot code execution te komen. Gebruik van het lek vereiste alleen dat het doelwit een bepaald bestand opende. Volgens Embedi werkt de aanval op alle Office-versies en alle Windows-versies tot aan de Creators Update. Protected View beschermt tegen deze methode, die werkt via OLE-objecten.

Beveiligingsbedrijf Qualys schrijft in zijn analyse van de updates dat Microsoft deze maand geen actief aangevallen lekken heeft gedicht en dat het geen van de kwetsbaarheden voor Windows als kritiek heeft aangemerkt. Alle gedichte kwetsbaarheden zijn op de desbetreffende Microsoft-pagina te vinden. Adobe bracht eveneens een groot aantal patches uit.

Reacties mogelijk gemaakt door CComment