Die sogenannte Follina-Schwachstelle in Microsoft Office ist nicht unbekannt, wurde aber offensichtlich unterschätzt: Hacker nutzen sie bereits als Einfallstor, um Ransomware mit manipulierten Dokumenten einzuschleusen und Daten auszuspionieren. Die IT-Sicherheitsberater von KALWEIT ITS warnen vor Vorsichtsmaßnahmen.
Das Microsoft Windows Support Diagnostic Tool (MSDT) hat die Schwachstelle DVE-2022-30190, die mittlerweile unter dem Namen „Follina“ einige Bekanntheit erlangt hat: Ende Mai veröffentlichte die Computersicherheitsfirma Proofpoint einen Bericht über den Angriff . durch chinesische Hacker in der internationalen tibetischen Gemeinschaft. Offenbar wurde die Schwachstelle genutzt, um manipulierte Dokumente einzuschleusen und diese zur Ausführung von Powershell-Befehlen zu nutzen. Und der Aufwand ist nicht einmal sehr groß.
Follina-Lücke und ihr zerstörerisches Potenzial
Das gefährdet die Computersicherheit ganzer Organisationen, wie Philipp Kalweit, Geschäftsführer der KALWEIT ITS GmbH, betont: „Die Schwachstelle von Follina eignet sich nicht nur, um Schadsoftware einfach zu verbreiten, sondern auch, um Daten ausspähen zu können.“ Das Perfide: Diese Schwachstelle lässt sich relativ einfach ausnutzen. Das Herunterladen des vorbereiteten Office-Dokuments und das Hochladen in den Windows Explorer kann ausreichen, um Schadcode zu aktivieren. „Das bedeutet, dass ein Benutzer das Dokument nicht einmal öffnen muss, die Hürde für Malware ist also extrem gering.“ erklärt den in Fachkreisen bereits kursierenden Begriff Zero Click Exploit.
Eine weitere Besonderheit ist, dass die Operation nicht auf VBA-Makros zurückgreift, deren Implementierung sich bereits als anfällig für solche Angriffe erwiesen hat, sondern auf das ms-msdt-Protokoll zurückgreift. Dies ist normalerweise in Versionen von Microsoft Windows 7 und höher aktiviert, aber auch in Serverversionen ab Windows Server 2008 für die automatische Fehlerbehebung; Daher ist das Potenzial für solche Cyberangriffe enorm.
Auch die Hypothese, dass nur ausgewählte Versionen von Microsoft Office über das Follina-Gateway verfügen, wird laut Philipp Kalweit zu optimistisch: „Es mehren sich die Hinweise, dass Microsoft-Office-Anwendungen keine Rolle spielen, da sie auch „andere Angriffsvektoren identifizieren“. Bisher allerdings , scheinen sich Hackerangriffe auf Office-Dokumente konzentriert zu haben, die so manipuliert wurden, dass sie als primärer Modus zur Verbreitung von Schadcode fungieren.”
Microsoft korrigiert seine eigene Follina-Risikoeinschätzung
Anzumerken ist auch, dass diese Schwachstelle erst Ende Mai entdeckt wurde: CrazymanArmy, ein Computersicherheitsforscher, twitterte am 12. April 2022 einen Screenshot mit seiner Fehlermeldung an Microsoft. Daher gab es keine Reaktion, im Gegenteil, die Meldung war abgelehnt und das Problem als sicherheitsrelevant beschrieben. Inzwischen hat das Microsoft Security Response Center (MSRC) den Schweregrad der Follina-Schwachstelle mit einer Punktzahl von 7,8 von 10 bestätigt und berichtet, dass an einem Sicherheitsupdate gearbeitet wird.
Dies ist auch dringend nötig, da immer mehr Angriffe gemeldet werden: So berichtete Proofpoint am 3. Juni 2022 auf Twitter über eine E-Mail-basierte Kampagne, die sich an europäische und US-amerikanische Verwaltungen richtete. Die angeblichen Angriffe auf den Meeresboden und die ukrainischen Behörden wurden noch nicht bestätigt. Das BSI hat jedoch reagiert, am 31. Mai 2022 wurde Warnstufe 3 bzw. Orange ausgerufen. Diese Stufe ist die zweithöchste und bedeutet, dass die IT-Bedrohungslage für das Geschäft kritisch ist und mit massiven Störungen des regulären Betriebs zu rechnen ist.
Identische Sicherheitsempfehlung von BSI und Microsoft
Wann Microsoft das Sicherheitsupdate durchführt, ist noch nicht klar. Noch wichtiger sind die Empfehlungen von BSI und Microsoft, den MSDT URL Protocol Manager zunächst mit den Registrierungsschlüsseln zu deaktivieren. Deshalb rät Kalweit: „Wir empfehlen diese Vorkehrungen auf jeden Fall, um die derzeit weit geöffnete und überraschend einfach zu bedienende Zugangstür zumindest bis zur Behebung der Lücke schließen zu können.“
Folgen Sie dazu der Eingabeaufforderung mit Administratorrechten. Der Registrierungsschlüssel kann gesichert werden, damit er nach dem Sicherheitsupdate oder beim Auftreten anderer Probleme wiederhergestellt werden kann. Die dafür erforderliche Reihenfolge ist [reg export HKEY_CLASSES_ROOT\ms-msdt Mein_Dateiname] – jeweils ohne Klammern. Sie können dann den Registrierungsschlüssel mit dem Befehl eingeben [reg delete HKEY_CLASSES_ROOT\ms-msdt /f] gelöscht werden.
www.kalweit-its.de