Aanvallers blijven nieuwe methodes ontwikkelen om computers te infecteren om hun ransomware te activeren. Security-expert Erik Westhovens, werkzaam is bij Insight, meldt nu dat er een nieuwe zeroday is ontdekt die via kwaadaardige code Microsoft Office infecteert en langs een backdoor de pc besmet.
De exploit werd ontdekt door Kevin Beaumont en kreeg de naam Follina mee. ‘Wat erg geavanceerd is aan deze methode is dat ze ook werkt wanneer macro’s in Office uitgeschakeld zijn’, aldus Westhovens. ‘Windows Defender en andere XDR-producten detecteren de bedreiging niet, waardoor je als bedrijf al snel machteloos staat.’
Nieuwe regel aanmaken
Kwaadwilligen kunnen de zeroday misbruiken door via de externe sjabloonfunctie van Microsoft Word een html-bestand op te halen van een webserver. Dat gebruikt op zijn beurt het ms-msdt MSProtocol URI-schema om PowerShell-code uit te voeren.
Bedrijven die Windows Defender en het Security Dashboard gebruiken kunnen een een zogeheten custom detection rule aanmaken (onder Advanced Hunting). Deze regel stopt de bedreiging niet, maar kan ze wel detecteren, zodat je een notificatie ontvangt.
