Microsoft heeft vorige week op Patch Tuesday verschillende kwetsbaarheden verholpen in Office-producten. Voor de meest kritieke kwetsbaarheid is inmiddels Proof-of-Concept-code (PoC) gepubliceerd.
De ernstigste kwetsbaarheid bevindt zich in het preview-scherm binnen Microsoft Office, aangeduid als CVE-2024-21413. Hiermee kan een aanvaller willekeurige code uitvoeren. Applicaties die gebruik maken van het preview-scherm, zoals Outlook, zijn hiervoor kwetsbaar. Succesvol misbruik vereist dat de kwaadwillende het slachtoffer misleidt om een malafide link aan te klikken. De kwetsbaarheid heeft een CVSS-score van 9,8 ontvangen. Het NCSC heeft besloten het beveiligingsadvies rondom deze kwetsbaarheid op te schalen naar High/High nadat PoC publiek beschikbaar is gesteld. Maar het NCSC waarschuwt dat uitvoerbare exploitcode op korte termijn zal opduiken. Dit betekent dat er een grote kans is dat deze kwetsbaarheid wordt misbruikt, de schade hiervan kan groot zijn.
Andere kwetsbaarheden
De andere verholpen kwetsbaarheden zitten verder in Microsoft Office, Microsoft OneNote, Microsoft Skype, Microsoft Teams for Android en Microsoft Word. De kwetsbaarheden in Skype en Teams for Android zijn alleen mogelijk als de aanvaller fysieke toegang heeft tot het systeem, of zich (als Man-in-the-Middle) bevindt in het aangrenzende netwerk.
Het NCSC raadt aan om zo snel mogelijk de laatste updates van Office-applicaties te installeren.
