Zero-day kwetsbaarheid ontdekt in Internet Explorer en Office-documenten

Wees alert bij het openen van Office-documenten

Op 7 september heeft Microsoft een zero-day kwetsbaarheid in Internet Explorer (IE) en Office-documenten gepubliceerd. Een zero-day kwetsbaarheid betekent een lek dat nog niet gedicht is. De kwetsbaarheid is onderdeel van MSHTML, het deel dat Office-applicaties gebruiken voor het weergeven van webinhoud in documenten. We merken op dat de kwetsbaarheid naar buiten wordt gebracht als een kwetsbaarheid in Office 365 en Office 2019, maar dit is niet direct het geval. In onderstaande blog zullen we toelichten wat de kwetsbaarheid betekent, wat de gevolgen voor jouw organisatie kunnen zijn en hoe je dit kunt voorkomen.

Wat houdt de kwetsbaarheid in?

Hackers zouden aangepaste Microsoft Office-documenten naar slachtoffers kunnen sturen om de kwetsbaarheid te misbruiken. Als gebruikers die documenten zonder beveiligingsfuncties openen (bijv. Protected View uitschakelen), dan zou de kwetsbaarheid remote code execution mogelijk maken.

Remote code execution (RCE) verwijst naar het vermogen van een hacker om toegang te krijgen tot en wijzigingen aan te brengen in een computer die eigendom is van een andere, zonder autoriteit en ongeacht waar de computer zich geografisch bevindt.

Wil je wat meer (technische) details? Kijk dan hier.

Wat betekent dit voor mij?

De kwetsbaarheid is van toepassing op de volgende combinatie van software: Office en Windows (IE is standaard hierop geïnstalleerd).

Wat kun je hieraan doen?

Microsoft adviseert de volgende stappen te nemen:

Beperk de gebruikersaccounts en -autorisaties tot het minimaal noodzakelijke. Beperk met name de adminrechten. Wij adviseren dit te doen op basis van een autorisatiematrix (een beschrijving van de gewenste inrichting), waarin functies gekoppeld zijn aan rollen en rollen aan rechten. De inrichting van Microsoft’s Active Directory (de werkelijke inrichting) zou 1-op-1 overeen moeten komen met de autorisatiematrix.

Update de definities van de antivirus en -malwarescanners. Microsoft geeft aan dat haar Defender Antivirus and Defender for Endpoint producten bescherming bieden voor de kwetsbaarheid, mits deze up-to-date zijn. Zakelijke (enterprise) gebruikers moeten minimaal “detection build” 1.349.22.0 uitrollen in hun omgeving(en).

Configureer de Group Policy (GP) zodanig dat documenten standaard in “Protected View” worden geopend of schakel Defender’s “Application Guard for Office” in. Maak een bewuste en doordachte keuze in het selecteren van “Enable Editing” (dat de “Protected View” uitschakelt). Zie ook het plaatje bij deze blog.

Schakel ActiveX uit in IE. Indien dit niet mogelijk of wenselijk is, schakel de installatie van alle nieuwe ActiveX-controls uit. Dit kan door het toevoegen van een aantal Registry Keys zoals uitgelegd op de website van Microsoft.

Daarnaast adviseren wij behoudend te zijn in het openen van Office-documenten die van een (mogelijk) onbetrouwbare bron afkomstig zijn. Schakel je CISO, andere beveiligingsexperts in je organisatie en/of een externe partij in bij enige twijfel. Dat geldt niet alleen voor deze kwetsbaarheid, maar ook in het algemeen. Ook Puur ICT kan jou hierbij ondersteunen (zie hieronder).

Het is nog niet precies duidelijk welke vervolgstappen Microsoft gaat nemen. Houd daarvoor de betreffende kanalen in de gaten, zoals de officiële website van Microsoft.

De ICT Specialist uit het Noorden

De ICT specialist uit het Noorden; het kantoor van Puur ICT in Heerenveen mag dan wel gelegen zijn in Friesland, maar wij zijn actief in het hele land.

Met onze oplossingen om jouw ICT te versimpelen en bedrijfsprocessen te verbeteren ontzorgen wij onze klanten. Onze ICT specialisten nemen jou graag mee op reis naar de Microsoft 365 cloud om de ICT functionaliteit vanuit Microsoft 365 volledig te benutten.