Follina-Schwachstelle: Kritische Zero-Day Lücke in Microsoft Office

01.06.2022

Kritische, nicht gepatchte Sicherheitslücke in Microsoft Office

Aktuell sorgt eine kritische, nicht gepatchte Sicherheitslücke in Microsoft Office in Kombination mit dem Microsoft Diagnostics Tool (MSDT) für Schlagzeilen. Besonders bedrohlich ist die Tatsache, dass sich die Zero-Day-Lücke ohne das Öffnen eines entsprechend präparierten Office-Dokuments ausnutzen lässt.

Microsoft hat die inzwischen Follina genannte Sicherheitslücke CVE-2022-30190 bestätigt, die eine Remote Code Execution (RCE) ermöglicht, “wenn MSDT unter Verwendung des URL-Protokolls von einer Anwendung wie Word aufgerufen wird.” Die Sicherheitsfirma Huntress geht in einer Analyse davon aus, dass die Sicherheitslücke in den nächsten Tagen in größerem Stil ausgenutzt wird.

Die Schwachstelle ermöglicht es Angreifern, beliebigen Code mit den Rechten der aufrufenden Anwendung auszuführen, so Microsoft. Das Perfide an der Schwachstelle ist, dass das Aktivieren von Makros oder das Öffnen des Office-Programm nicht notwendig ist, um eine Infektion hervorzurufen: Es reicht bereits aus, bei einer heruntergeladenen Datei eine Hover-Vorschau auszulösen.

Ist ein Rechner infiziert, kann der Angreifer “Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem von den Rechten des Benutzers erlaubten Kontext erstellen”, erklärt Microsoft. Außerdem weist Microsoft darauf hin, dass auch das sogenannte Chaining von Sicherheitslücken denkbar ist. Dabei wird eine Sicherheitslücke wie Follina zur Infektion des Rechners genutzt; weitere Sicherheitslücken werden dann beispielsweise zum Ausweiten der Rechte verwendet.

Die offizielle CVE Nummer lautet CVE-2022-30190. Die offizielle BSI Bekanntgabe finden Sie hier

Wie funktioniert die aktuelle Lücke?

  • Anwender öffnen eine mit versteckter Malware versehene DOC-Datei, die sie z.B. per E-Mail erhalten haben
  • Das Dokument verweist auf eine normal aussehende https:-URL, die heruntergeladen wird
  • Diese https:-URL verweist auf eine HTML-Datei, die einen JavaScript-Code enthält
  • Das JavaScript wiederum verweist auf eine URL mit der ungewöhnlichen Kennung ms-msdt: anstelle von https:. Unter Windows ist ms-msdt: ein proprietärer URL-Typ, der das MSDT-Software-Toolkit startet. MSDT ist die Abkürzung für Microsoft Support Diagnostic Tool
  • Die zum MSDT via URL übermittelte Befehlszeile führt dazu, dass nicht vertrauenswürdiger Code ausgeführt wird

Wenn der bösartige ms-msdt:-Link aufgerufen wird, löst er einen MSDT-Befehl mit Befehlszeilenargumenten wie dem folgenden aus: msdt /id pcwdiagnostic …. Wenn es von Hand ausgeführt wird, ohne andere Parameter, lädt dieser Befehl automatisch MSDT und ruft die Programmkompatibilitäts-Fehlerbehebung auf, die harmlos aussieht.

Workaround zur Behebung der Schwachstelle

Microsoft hat einen Workaround zur Behebung der Schwachstelle veröffentlicht. Bitte nutzen Sie diesen Workaround bis ein offizieller Patch zur Verfügung steht.

Bei Fragen oder zur Unterstützung stehen wir Ihnen über unser Kontaktformular jederzeit zur Verfügung.

Diese Beiträge könnten Sie auch interessieren

Ich suche nach