Soweit wir wissen, gibt es möglicherweise andere Möglichkeiten, die „Follina“-Schwachstelle von MS Office zu aktivieren oder zu missbrauchen. Sicherheitsforscher Kevin Beaumont nannte die Schwachstelle, die sich als nützlicher Suchbegriff zu dem Thema erweist, bis eine offizielle CVE-Nummer vergeben wird.
Wie funktioniert die aktuelle Lücke?
- Benutzer öffnen eine DOC-Datei mit versteckter Schadsoftware, die sie beispielsweise per E-Mail erhalten haben.
- Das Dokument verweist auf eine herunterladbare https: normal aussehende URL.
- Diese https: URL verweist auf eine HTML-Datei, die JavaScript-Code enthält.
- JavaScript wiederum zeigt auf eine URL mit der ungewöhnlichen Kennung ms-msdt: statt https:. Unter Windows ist ms-msdt: ein proprietärer URL-Typ, der das MSDT-Software-Toolkit startet. MSDT ist die Abkürzung für Microsoft Support Diagnostic Tool.
- Die über die URL an MSDT gesendete Befehlszeile führt dazu, dass ein nicht vertrauenswürdiger Code ausgeführt wird.
Bildquelle: Sophos
Wenn der bösartige Link ms-msdt: aufgerufen wird, aktiviert er einen MSDT-Befehl mit Befehlszeilenargumenten wie: msdt / id pcwdiagnostic …. Bei manueller Ausführung ohne andere Parameter lädt dieser Befehl automatisch MSDT und ruft die Problembehandlung für die Programmkompatibilität auf , was harmlos erscheint:
Von hier aus können Benutzer eine Fehlerbehebungsanwendung auswählen, die verschiedene supportbezogene Fragen beantwortet, automatisierte Tests für die Anwendung durchführt oder das Problem an Microsoft meldet, während sie verschiedene Fehlerbehebungsdaten hochlädt. Obwohl Benutzer wahrscheinlich nicht erwarten, dieses Diagnosedienstprogramm nur durch Öffnen eines Word-Dokuments aufzurufen, steigt die Wahrscheinlichkeit, diese Reihe von Popup-Dialogfeldern zu “akzeptieren”.
Automatische Ausführung von Remote-Skripten
Im Fall Follina scheinen die Angreifer jedoch ungewöhnliche, aber auch sehr komplizierte Möglichkeiten zu haben, sich in die Kommandozeile einzuschleichen. Infolgedessen erledigt die MSDT-Fehlerbehebung ihre Aufgabe aus der Ferne. Anstatt sich zu fragen, wie der Benutzer vorgehen möchte, haben Cyberkriminelle eine Reihe von Parametern erstellt, die nicht nur dazu führen, dass die Operation automatisch fortgesetzt wird (z. B. die Optionen / skip und / force), sondern auch einen Skript-PowerShell-Aufruf. Erschwerend kommt hinzu, dass sich dieses PowerShell-Skript nicht einmal in einer Datei auf der Festplatte befinden muss: Es kann in Form von verschlüsseltem Quellcode direkt von der Befehlszeile selbst bereitgestellt werden, zusammen mit allen anderen verwendeten Optionen. Im Fall „Follina“ wird laut Hammond PowerShell verwendet, um eine ausführbare Datei einer Malware zu extrahieren und freizugeben, die in komprimierter Form bereitgestellt wurde.
Keine Makros erforderlich
Wichtig ist, dass dieser Angriff von Word ausgelöst wird, das auf die irreführende URL ms-msdt: verweist, auf die von einer in derselben DOC-Datei enthaltenen URL verwiesen wird. Für dieses Verfahren sind keine VBA-Office-Makros (Visual Basic for Applications) erforderlich, sodass dieser Trick auch dann funktioniert, wenn Office-Makros deaktiviert sind.
Es sieht also wie eine nützliche Office-URL-“Funktion” in Kombination mit einer nützlichen MSDT-Diagnose-“Funktion” aus. Tatsächlich schafft es jedoch eine Schwachstelle, die mit einem einzigen Klick zur Remote-Code-Ausführung führen kann. So kann bereits beim Öffnen eines so präparierten Word-Dokuments Schadsoftware übertragen werden, ohne dass der Nutzer es merkt.
Tatsächlich schreibt Hammond, dass dieser Trick zu einem noch direkteren Angriff werden kann, indem irreführende Inhalte in eine RTF-Datei statt in eine DOC-Datei gepackt werden. In diesem Fall reicht es aus, nur eine Vorschau des Dokuments im Windows Explorer anzuzeigen, um den Exploit zu aktivieren, ohne auch nur darauf zu klicken, um es zu öffnen. Allein das Rendern des Thumbnail-Vorschaufensters würde Windows und Office zum Stolpern bringen.
Was soll ich machen?
Microsoft hat bereits eine offizielle Lösung veröffentlicht und wir hoffen, bald einen dauerhaften Patch veröffentlichen zu können. So nützlich Microsoft-eigene ms-xxxx-URLs auch sein mögen, die Tatsache, dass sie darauf ausgelegt sind, Prozesse automatisch zu starten, wenn bestimmte Dateitypen geöffnet oder auch nur zuvor angesehen werden, ist eindeutig ein Sicherheitsrisiko.
Darüber hinaus besteht eine gängige Technik zur Problemlösung in der Community darin, einfach die Beziehung zwischen ms-msdt: URLs und dem Dienstprogramm MSDT.EXE zu unterbrechen. Sophos-Experte Paul Ducklin beschreibt dies ausführlich in seinem Blogbeitrag.
www.sophos.com/de-de