Nieuwe Zero Day ontdekt die via malicious code Office infecteert

Aanvallers blijven nieuwe methodes ontwikkelen om computers te infecteren ten einde hun ransomware te activeren. "Er is een nieuwe Zero day ontdekt die via malicious code office infecteert en via een backdoor de pc besmet" meldt security expert Erik Westhovens die werkzaam is bij Insight.

Westhovens: "Wat erg geavanceerd is aan deze methode is dat deze ook werkt als Macro's op disabled staat. Windows defender en andere XDR producten detecteren dit niet en als bedrijf ben je dan al snel machteloos. De exploit genaamd Follina en ontdekt door Kevin Beaumont kan daardoor snel slachtoffers maken."

Het document gebruikt de externe sjabloonfunctie van Word om een HTML-bestand op te halen van een externe webserver, die op zijn beurt het ms-msdt MSProtocol URI-schema gebruikt om wat code te laden en wat PowerShell uit te voeren.

Bedrijven die Windows Defender en het security dashboard gebruiken kunnen een custom detection rule maken onder advanced hunting. Deze rule stopt het niet, maar detecteert het wel waardoor je een notificatie krijgt.

Lees meer details hier.