Am 30. Mai 2022 ist eine kritische Sicherheitslücke in Microsoft Office bekannt geworden. Diese Lücke ist unter dem Synonym „Follina“ zu finden und wird unter CVE-2022-30190 gelistet. Besonders kritisch ist dabei, dass die Angriffskomplexität als gering eingestuft wird. Die Lücke kann somit auch von unerfahrenen Angreifern ausgenutzt werden und zu potenziell hohem Schaden auf dem betroffenen System führen.
Die Schwachstelle nutzt das Microsoft Support Diagnostic Tool (MSDT) [https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/msdt], mit diesem werden im Normalfall Diagnosedaten gesammelt und an Microsoft übermittelt. Betroffene Dateien laden jedoch Schadcode oder Komponenten über das Internet nach und führen diese mit den vorhandenen Benutzerrechten auf dem System aus. Dadurch kann der Angreifer die volle Kontrolle über das System und die darauf verfügbaren Daten erhalten und diese manipulieren. Je nachdem ob weitere Schwachstelle vorhanden sind können weitere Angriffe wie z.B. Rechteausweitung (Privilgege-Escalation) erfolgen.
Das betroffene Dokument enthält eine https-URL die heruntergeladen wird. Dadurch wird Java-Script Code ausgeführt welcher wiederum auf eine URL mit Verweis auf einen ms-msdt Link referenziert. Das oben beschriebene Tool wird mit den übergebenen Parametern aufgerufen, lädt Schadcode nach. Dieser wird anschließend mittels Power-Shell aufgerufen und ausgeführt. Besonders heimtückisch ist dabei, dass es sich nicht um Makros handelt und der klassische Makro-Schutz keine Hilfe gegen diesen Angriff bietet!
Bis zur Verfügbarkeit eines Patches wird folgender Workaround empfohlen.
Das im Angriff verwendete MSDT-URL-Protokoll sollte deaktiviert werden, damit ist es nicht mehr möglich, dass die verwendeten Links automatisch aufgerufen und ausgeführt werden.
1. Öffnen der Befehlszeile als Administrator
reg export HKEY_CLASSES_ROOT\ms-msdt filename
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
reg import filename
Bisher sind keine negativen Auswirkungen auf die Produktivität bekannt, jedoch sollte auch an dieser Stelle eine angemessene Erprobung und Tests erfolgen.
Details dazu sind unter dem Link zu finden.
Weiterhin empfiehlt Microsoft für Nutzer von „Microsoft Defender für Endpunktsicherheit“ die Aktivierung der Regel “BlockOfficeCreateProcessRule”, diese Verhindert die Erstellung von Unterprozessen durch Office-Anwendungen.
Zudem erkennt der Microsoft Defender ab der Build 1.367.719.0 oder neuer über seine Signaturdateien solche Angriffe.
Zusätzlich können alle Mitarbeitenden informiert und sensibilisiert werden beim Empfang von Office Dateien besonders wachsam zu sein. Der Absender sollte verifiziert werden und der Inhalt der Datei erwartet und bekannt sein. Sind bereits Wege zur Sensibilisierung und Information der Mitarbeitenden bekannt, sollte diese Information darüber entsprechend verteilt werden.
Sobald weitere Informationen von Microsoft vorliegen, insbesondere zu Patches oder Updates werden wir Sie entsprechend informieren bzw. diesen auf dieser Internetseite hinterlegen. Die Lücke ist erst vor kurzem bekannt geworden, sodass sich weitere Angriffszenarien entwickeln können und weitere Maßnahmen notwendig werden. Betroffene sollten daher die weitere Entwicklung verfolgen. Bei Veränderungen informieren wir auf unserer Website und passen die Informationen zu diesem Advisory laufend an.
