Follina: Angriffe über Office-Dateien

Die unter dem Namen Follina bekannte Schwachstelle CVE-2022-30190 zählt derzeit zu den schwerwiegendsten Sicherheitslücken. Sie ermöglicht es, das Windows Support Diagnostics Tool direkt über Microsoft Office auszunutzen. Dass dieser Fehler bisher nicht behoben wurde, macht die Schwachstelle besonders beunruhigend: Office ist ein weit verbreitetes Werkzeug und damit ein attraktives Ziel für Cyberkriminelle.

Was ist die Follina-Schwachstelle aka CVE-2022-30190?

Die Schwachstelle CVE-2022-30190 befindet sich im Microsoft Windows Support Diagnostics Tool (MSDT). Auf den ersten Blick mag das vernachlässigbar klingen, doch bietet diese Sicherheitslücke Cyberkriminellen einen aktiven Angriffsvektor. Der Grund liegt in der Implementierung des Tools, die sich über manipulierte Microsoft-Office-Dateien ausnutzen lässt. Betroffen sind nicht nur klassische Word-Dokumente, sondern auch andere Dateitypen.

Wie funktioniert der Angriff über Office-Dateien?

Ein typischer Angriff über Microsoft-Software läuft folgendermaßen ab: Der Angreifer erstellt ein manipuliertes Dokument, indem er Schadcode in eine Microsoft-Office-Datei einbettet. Diese Datei versendet er anschließend an potenzielle Opfer, meist als E-Mail-Anhang. Häufig geht dem gezieltes Social Engineering voraus, um sicherzustellen, dass der Inhalt der E-Mail überzeugend genug ist, damit Sie die Datei öffnen.

Wenn Sie die Nachricht nicht als Schadsoftware erkennen, öffnen Sie eine Datei mit bösartigem Code. Dabei kann es sich beispielsweise um einen Link zu einer HTML-Datei oder um JavaScript-Code handeln, der wiederum über MSDT ausgeführt wird.

Das Ergebnis: Die Angreifer können im Rahmen ihres Exploits Programme installieren oder auch Daten einsehen, verändern und zerstören.

Angriffe über CVE-2022-30190 sind großflächig

Office-Produkte sind nicht erst seit der Cloud-Transformation im Einsatz: Für viele Menschen gehören sie fest zum (Berufs-)Alltag. Das macht die Zero-Day-Schwachstelle umso riskanter, denn sie bietet Cyberkriminellen ein enormes Angriffspotenzial. Einige Angreifer wollen lediglich Schaden anrichten, andere stehlen gezielt Zugangsdaten und Informationen, um diese weiterzuverkaufen.

Besonders gefährlich an Follina ist die einfache Ausnutzbarkeit. Die Schwachstelle eignet sich hervorragend dafür, Schadsoftware zu verbreiten und Daten auszuspähen.

Als Anwender müssen Sie das präparierte Dokument lediglich herunterladen, nicht einmal öffnen. Bereits die Vorschau im Windows Explorer genügt, um den Schadcode zu aktivieren. Umso wichtiger ist es, verdächtige E-Mails frühzeitig zu erkennen und sofort Sicherheitsmaßnahmen zu ergreifen. Auch ein regelmäßiger Penetrationstest für KMUs hilft Ihnen dabei, den Zustand Ihrer IT-Sicherheit im Blick zu behalten.

Diese Microsoft-Produkte sind von Follina betroffen

Dass Unternehmen von einem durchdachten Sicherheitskonzept profitieren, ist nicht erst seit Follina bekannt. Bereits die Log4j-Zero-Day-Schwachstelle und der PrintNightmare sorgten für erhebliche Unruhe. Die Schwachstelle CVE-2022-30190 unterstreicht nun, dass ein zuverlässiges Incident Response Management im Unternehmen unverzichtbar ist, denn die Zahl der Microsoft-Office-Anwender ist enorm.

Die Hoffnung, dass die Sicherheitslücke nur bestimmte Versionen der Microsoft-Produkte betrifft, hat sich nicht erfüllt. Da der Angriff auf das MSDT abzielt, lässt er sich auf sämtlichen gängigen Windows-Betriebssystemen ausnutzen. Dazu gehören:

• Sämtliche Microsoft Windows Versionen ab Version 7
• Alle Server-Versionen ab Windows Server 2008
• Sämtliche Microsoft Office Anwendungen
  Das Fehlen einer klaren Eingrenzung auf bestimmte Produkte verdeutlicht, wie kritisch die Schwachstelle ist. Sie bietet enormes Potenzial für Cyberangriffe, das im Zuge der Cloud-Transformation noch gravierender ausfällt. Dennoch sind es derzeit vor allem klassische Word-Dateien, die Angreifer als Einfallstor nutzen.

BSI und Microsoft erhöhen ihre Risikoeinschätzung

Während Microsoft die Sicherheitslücke am 12. April 2022 noch als "nicht sicherheitsrelevant" eingestuft hatte, hat sich die Lage inzwischen deutlich verändert. Das Microsoft Security Response Center bewertet sie mittlerweile mit 7,8 von 10 Punkten. Mit dieser Hochstufung des Schweregrads kündigte Microsoft zugleich die Arbeit an einem Sicherheitsupdate an.

Auch das BSI (Bundesamt für Sicherheit und Informationstechnik) hat die Gefahr erkannt und am 31. Mai 2022 die Warnstufe 3 ausgerufen. Das ist die zweithöchste Stufe und signalisiert eine geschäftskritische IT-Bedrohungslage mit massiven Beeinträchtigungen des regulären Betriebs.

Was hat Microsoft bisher unternommen?

Microsoft hat die von der Schwachstelle ausgehende Gefahr inzwischen anerkannt. Ein konkretes Datum für ein Sicherheitsupdate steht jedoch noch nicht fest. Stattdessen empfehlen Microsoft und das BSI, die MSDT-URL-Protokollhandler vorübergehend zu deaktivieren.

Das macht die Follina Sicherheitslücke so tückisch

Das Tückische an dieser Schwachstelle ist der direkte Aufruf des MSDT. Mithilfe bestimmter Parameter lässt sich Code über den URI-Handler remote nachladen und ausführen. Wie bereits erwähnt, müssen Sie die Word-Datei dafür nicht einmal öffnen.

Dokumente verursachen auch ungeöffnet Schaden

Die wohl größte Gefahr dieser Sicherheitslücke besteht darin, dass selbst ungeöffnete Dateien Schaden anrichten können. Das betrifft nicht nur Word-Formate, sondern auch RTF-Dokumente. Beide lassen sich von Cyberkriminellen mit Schadcode präparieren. Um diesen auszuführen, muss die Datei nicht einmal geöffnet werden. Bereits die Vorschau im Explorer genügt.

Für Nutzer eines Netzwerklaufwerks bedeutet das zusätzlich: Sobald jemand das Dokument ablegt und ein anderer Benutzer den Ordner öffnet, sind alle mit aktivierter Vorschauansicht betroffen.

Bisherige Lösungen von Microsoft reichen nicht aus

Leider liegt derzeit noch keine Lösung von Microsoft für die Schwachstelle CVE-2022-30190 vor. Es gibt lediglich ein Guidance-Support-Dokument, das zeigt, wie Sie die Auswirkungen abmildern können. Die bereits seit April bekannte Follina-Sicherheitslücke bleibt damit ein offenes Risiko für zahlreiche Unternehmen.

So können sich Unternehmen gegen Follina wappnen

Die offizielle Problembehebung von Microsoft lässt darauf hoffen, dass bald ein dauerhafter Patch bereitsteht. Bis dahin gilt es, potenzielle Sicherheitsrisiken mit einem Sicherheitskonzept und regelmäßigen Pentests in Schach zu halten. Einer der wichtigsten Lösungsansätze besteht derzeit darin, die Verbindung zwischen dem Dienstprogramm MSDT.EXE und ms-msdt:-URLs zu unterbrechen.

Microsoft selbst empfiehlt, das MSDT-URL-Protokoll zu deaktivieren. Dazu sind Administratorrechte erforderlich. Der entsprechende Befehl lautet reg delete HKEY_CLASSES_ROOT\ms-msdt.

Vor der Ausführung empfiehlt es sich, die Registry zu sichern. So können Sie den ursprünglichen Zustand wiederherstellen, sobald der Workaround nicht mehr benötigt wird.

Ebenfalls wichtig: Seien Sie bei E-Mail-Anhängen noch vorsichtiger als gewöhnlich, insbesondere wenn Microsoft-Dokumente enthalten sind. Unabhängig von aktuellen Sicherheitslücken ist eine regelmäßige statische Code-Analyse als Software-Testverfahren ein wichtiger Schritt zur Verbesserung Ihrer IT-Sicherheit.

Fazit: Auf einen dauerhaften Patch ist noch zu warten

Ein dauerhafter Patch für die Follina-Sicherheitslücke ist noch nicht in Sicht. Da die Schwachstelle bereits im März und April 2022 bekannt wurde, gibt der fehlende Patch Grund zur Besorgnis. Sobald ein Patch verfügbar ist, sollten Sie ihn umgehend einspielen.

Doch selbst diese Aussicht reicht nicht aus: Die meisten Unternehmen erleiden früher oder später einen Angriff, den sie bewältigen müssen. In einem solchen Ernstfall ist ein funktionierendes Incident Response Management unverzichtbar.

Ein solides Sicherheitskonzept, regelmäßige Penetrationstests für KMUs und statische Code-Analysen helfen Ihnen, die Gefahren abzumildern. Schwachstellen wie Log4j, PrintNightmare oder Follina können jederzeit erneut auftreten.

Eine gründliche Vorbereitung auf solche Vorfälle ist daher unerlässlich. Insbesondere Schulungen durch Experten bereiten Sie und Ihre Mitarbeitenden darauf vor und zeigen, worauf es im Ernstfall ankommt.