MSDT-Follina Sicherheitslücke

Inhaltsverzeichnis

Was ist Microsoft Sicherheitslücke MSDT-Follina?

Am 30. Mai 2022 ist eine kritische Sicherheitslücke in Microsoft Office bekannt geworden. Diese Lücke ist unter dem Synonym „Follina“ zu finden und wird unter CVE-2022-30190 gelistet. Besonders kritisch ist dabei, dass die Angriffskomplexität als gering eingestuft wird. Die Lücke kann somit auch von unerfahrenen Angreifern ausgenutzt werden und zu potenziell hohem Schaden auf dem betroffenen System führen.

Allgemeine Information zu MSDT-Follina

Die Schwachstelle nutzt das Microsoft Support Diagnostic Tool (MSDT) [https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/msdt], mit diesem werden im Normalfall Diagnosedaten gesammelt und an Microsoft übermittelt. Betroffene Dateien laden jedoch Schadcode oder Komponenten über das Internet nach und führen diese mit den vorhandenen Benutzerrechten auf dem System aus. Dadurch kann der Angreifer die volle Kontrolle über das System und die darauf verfügbaren Daten erhalten und diese manipulieren. Je nachdem ob weitere Schwachstelle vorhanden sind können weitere Angriffe wie z.B. Rechteausweitung (Privilgege-Escalation) erfolgen.

Du möchtest Dir die Folgen eines Hackerangriffs auf
Dein IT-System ersparen?
Teste jetzt deine IT durch einen professionellen Penetrationstest!
Zum Penetrationstest

Technische Information zu MSDT-Follina

Das betroffene Dokument enthält eine https-URL die heruntergeladen wird. Dadurch wird Java-Script Code ausgeführt welcher wiederum auf eine URL mit Verweis auf einen ms-msdt Link referenziert. Das oben beschriebene Tool wird mit den übergebenen Parametern aufgerufen, lädt Schadcode nach. Dieser wird anschließend mittels Power-Shell aufgerufen und ausgeführt. Besonders heimtückisch ist dabei, dass es sich nicht um Makros handelt und der klassische Makro-Schutz keine Hilfe gegen diesen Angriff bietet!

Workaround

Bis zur Verfügbarkeit eines Patches wird folgender Workaround empfohlen.

Das im Angriff verwendete MSDT-URL-Protokoll sollte deaktiviert werden, damit ist es nicht mehr möglich, dass die verwendeten Links automatisch aufgerufen und ausgeführt werden.

1. Öffnen der Befehlszeile als Administrator

2. Erstellung eines Backups des Registry-Schlüssels: HKEY_CLASSES_ROOT\ms-msdt mittels Kommando:
				
					reg export HKEY_CLASSES_ROOT\ms-msdt filename
				
			
3. Löschen des Registry-Schlüssels mittels:
				
					reg delete HKEY_CLASSES_ROOT\ms-msdt /f
				
			
Sollte der Vorgang Rückgängig gemacht werden, so kann der gesicherte Schlüssel mit folgendem Kommando wieder eingespielt werden:
				
					reg import filename
				
			

Bisher sind keine negativen Auswirkungen auf die Produktivität bekannt, jedoch sollte auch an dieser Stelle eine angemessene Erprobung und Tests erfolgen.

Details dazu sind unter dem Link zu finden.

Alternative Lösungswege

Weiterhin empfiehlt Microsoft für Nutzer von „Microsoft Defender für Endpunktsicherheit“ die Aktivierung der Regel “BlockOfficeCreateProcessRule”, diese Verhindert die Erstellung von Unterprozessen durch Office-Anwendungen.

Zudem erkennt der Microsoft Defender ab der Build 1.367.719.0 oder neuer über seine Signaturdateien solche Angriffe.

Weitere Schritte

Zusätzlich können alle Mitarbeitenden informiert und sensibilisiert werden beim Empfang von Office Dateien besonders wachsam zu sein. Der Absender sollte verifiziert werden und der Inhalt der Datei erwartet und bekannt sein. Sind bereits Wege zur Sensibilisierung und Information der Mitarbeitenden bekannt, sollte diese Information darüber entsprechend verteilt werden.

Sobald weitere Informationen von Microsoft vorliegen, insbesondere zu Patches oder Updates werden wir Sie entsprechend informieren bzw. diesen auf dieser Internetseite hinterlegen. Die Lücke ist erst vor kurzem bekannt geworden, sodass sich weitere Angriffszenarien entwickeln können und weitere Maßnahmen notwendig werden. Betroffene sollten daher die weitere Entwicklung verfolgen. Bei Veränderungen informieren wir auf unserer Website und passen die Informationen zu diesem Advisory laufend an.

Erhöhen Sie jetzt die Sicherheit Ihrer IT!
Von uns erhältst Du eine ausführliche Beratung!
Jetzt kontaktieren