Onderzoekers van Mimecast waarschuwen voor een nieuw geheugenlek in Microsoft Project. Deze projectmanagementsoftware is onderdeel van Microsoft Office (sinds 2010) en Microsoft 365. Na een melding van Mimecast stelde Microsoft op dinsdag 14 juli een patch beschikbaar die de kwetsbaarheid dicht.
De onderzoekers gaven het geheugenlek de naam ‘MPP Bleed’. Zij troffen fragmenten van uitvoerbare code aan in een Project-bestand (met de extensie .mpp). In dit type bestand zouden alleen data moeten zitten. De aanwezigheid van uitvoerbare code is een typische indicator van een kwaadaardig bestand. Verder onderzoek wees uit dat er sprake was van een geheugenlek. Door MPP Bleed kan informatie uit het geheugen (zoals afbeeldingen, tekst of andere metadata) terechtkomen in het mpp.-bestand. Dat gebeurt wanneer de gebruiker een bestand opslaat met een ongepatchte versie van Microsoft Project. Het gaat om willekeurige data. In het ergste geval is dit gevoelige informatie of zijn het gegevens die cybercriminelen kunnen gebruiken voor een aanval.
Microsoft brengt patch uit
Op het moment van schrijven zijn er nog geen bekende exploits van MPP Bleed. Het geheugenlek werd ontdekt in Microsoft Project 2016, maar volgens de onderzoekers heeft het ook impact op Microsoft Project in Microsoft 365. Andere Microsoft Office-applicaties zijn niet kwetsbaar.
Microsoft heeft op dinsdag 14 juli een patch (CVE: 2020-1322) vrijgegeven die het geheugenlek dicht. Microsoft Research Labs adviseert de ruim 60.000 Microsoft Project-gebruikers wereldwijd om deze patch te installeren. Een gepatchte versie van de software lekt tijdens het opslaan geen data meer. Organisaties zouden moeten overwegen hun Project-bestanden opnieuw op te slaan na het patchen.
Willekeurige data
MPP Bleed oogt relatief onschuldig, maar is dat zeker niet”, zegt Matthew Gardiner, Principal Security Strategist bij Mimecast. “Dit type kwetsbaarheid zien we steeds vaker. Een gevaarlijk kenmerk van MPP Bleed is dat er willekeurige data worden opgeslagen. Dat kunnen allerlei soorten gevoelige bedrijfsgegevens zijn. Het is belangrijk dat elke organisatie die Microsoft Project gebruikt zo snel mogelijk controleert of deze patch geïnstalleerd is.”
“Kwetsbaarheden zoals MPP Bleed onderstrepen het belang van een strikt patchbeleid voor Microsoft-software”, vervolgt Gardiner. “In dit geval gaat het om een geheugenlek dat jarenlang onopgemerkt is gebleven. Cybercriminelen zijn continu op zoek naar zwakke plekken in populaire software. Gelukkig waren wij ze dit keer voor. Het vinden van dit soort kwetsbaarheden vergt een combinatie van geavanceerde malwaredetectietools en expertise. Daarom kon MPP Bleed zo lang bestaan voordat het werd ontdekt.”
Meer informatie over MPP Bleed vindt u in deze blogpost.