Schwachstelle Follina ermöglicht Angriffe über Office-Dateien

Die neue Schwachstelle CVE-2022-30190, auch Follina genannt, ermöglicht den Exploit des Windows Support Diagnostic Tools über MS Office-Dateien.

Erneut haben Forscher eine schwerwiegende Schwachstelle in Microsoft-Produkten entdeckt, die Angreifern die Ausführung von beliebigem Code ermöglichen kann. Die Schwachstelle CVE-2022-30190 wurde von Forschern auf den Namen „Follina“ getauft. Beunruhigend ist momentan vor allem die Tatsache, dass der Bug noch nicht gefixt werden konnte und die Schwachstelle bereits aktiv von Cyberkriminellen ausgenutzt wird. Während sich ein Update aktuell noch in der Entwicklung befindet, wird allen Windows-Nutzern und -Administratoren empfohlen, vorübergehende Workarounds zu verwenden.

Was ist CVE-2022-30190 und welche Produkte sind betroffen?

Die Schwachstelle CVE-2022-30190 befindet sich im Microsoft Windows Support Diagnostic Tool (MSDT), was auf den ersten Blick nicht besonders besorgniserregend erscheint. Leider kann die Schwachstelle aufgrund der Implementierung des Tools über ein bösartiges MS-Office-Dokument ausgenutzt werden.

Die Anwendung MSDT wird eingesetzt, um Diagnoseinformationen automatisch zu sammeln und zur Problemlösung an Microsoft weiterzuleiten. Das Tool kann über das spezielle MSDT-URL-Protokoll über andere Anwendungen aufgerufen werden; Microsoft Word ist in diesem Rahmen das beliebteste Beispiel. Wird die Schwachstelle erfolgreich ausgenutzt, kann ein Angreifer beliebigen Code mit den Rechten der jeweiligen Anwendung ausführen – in diesem Fall mit den Rechten des Nutzers, der die schädliche Datei geöffnet hat.

Die Schwachstelle CVE-2022-30190 kann in allen Windows-Betriebssystemen ausgenutzt werden.

So nutzen Angreifer CVE-2022-30190 aus

Wie ein Angriff aussehen könnte, beschreiben die Forscher, die die Sicherheitslücke entdeckt haben, über folgendes Szenario: Angreifer erstellen ein bösartiges MS-Office-Dokument und lassen es ihrem Opfer zukommen. Meist erfolgt dies über eine E-Mail mit schädlichem Anhang, die den Empfänger via Social-Engineering-Techniken davon überzeugt, die Datei zu öffnen.

Die infizierte Datei enthält einen Link zu einer HTML-Datei, die JavaScript-Code enthält, der schädlichen Code in der Befehlszeile via MSDT ausführt. Als Ergebnis eines erfolgreichen Exploits können die Angreifer Programme installieren, Daten anzeigen, ändern oder zerstören sowie neue Konten erstellen – das heißt, sie können alles tun, was mit den Rechten des Opfers im System möglich ist.

So können Sie sich schützen

Wie oben erwähnt, gibt es noch keinen Patch für die Schwachstelle. Deshalb empfiehlt Microsoft momentan, das MSDT-URL-Protokoll zu deaktivieren. Dazu müssen Sie eine Eingabeaufforderung mit Administratorrechten ausführen und den Befehl reg delete HKEY_CLASSES_ROOT\ms-msdt /f ausführen. Bevor Sie dies tun, sollten Sie die Registry sichern, indem der Befehl reg export HKEY_CLASSES_ROOT\ms-msdt filename ausgeführt wird. Sobald dieser Workaround nicht mehr benötigt wird, ist so über den Befehl reg import filename eine schnelle Wiederherstellung der Windows-Registrierdatenbank gewährleistet.

Selbstverständlich handelt es sich hierbei lediglich um eine vorübergehende Maßnahme, bis ein Update, das die Follina-Schwachstelle schließt, verfügbar ist.

Die beschriebenen Exploit-Methoden beinhalten den Einsatz von E-Mails mit schädlichen Anhängen und Social-Engineering-Methoden. Wir empfehlen daher, E-Mails von unbekannten Absendern noch vorsichtiger als sonst zu behandeln – insbesondere, wenn diese angehängte MS-Office-Dokumente enthalten. Für Unternehmen ist es sinnvoll, Mitarbeiter regelmäßig auf die relevantesten Tricks von Cyberkriminellen aufmerksam zu machen.

Zudem sollten alle Geräte mit Internetzugang mit einer robusten Sicherheitslösung ausgestattet sein. So kann verhindert werden, dass Schadcode auf dem Computer eines Benutzers ausgeführt wird, selbst wenn es zum Exploit einer unbekannten Schwachstelle kommt.

Tipps