Penetrationstest - Jan Kahmen - 24. Juni 2022

Follina: Angriffe über Office-Dateien

follina_de_8494a8e1f7

Die unter dem Namen Follina bekannte CVE-2022-30190 Schwachstelle zählt derzeit zu den schwerwiegendsten Sicherheitslücken für Office-Dateien.

Inhaltsverzeichnis

Die unter dem Namen Follina bekannte CVE-2022-30190 Schwachstelle zählt derzeit zu den schwerwiegendsten Sicherheitslücken. Sie ermöglicht einen Exploit des Windows Support Diagnostics Tools direkt über Microsoft Office. Dass dieser Bug bisher noch nicht behoben werden konnte, macht die Windows Sicherheitslücke besonders beunruhigend: Schließlich ist Office ein gängiges Tool - und damit ausgesprochen interessant für Cyberkriminelle.

Was ist die Follina-Schwachstelle aka CVE-2022-30190?

Die CVE-2022-30190 Schwachstelle liegt im Microsoft Windows Support Diagnostics Tool (MSDT). Das mag auf den ersten Blick vernachlässigbar sein, doch bietet diese Microsoft Office Sicherheitslücke eine aktive Einfallsmöglichkeit für Cyberkriminelle. Der Grund dafür ist die Implementierung des Tools, die sich durch einen Virus in Microsoft Office Dateien ausnutzen lässt. Dazu gehören nicht nur klassische MS Word Dokumente, sondern auch andere Dateitypen.

Wie funktioniert der Angriff über Office-Dateien?

Die Attacke über die Software von Microsoft kann folgendermaßen aussehen: Der Angreifer erstellt ein bösartiges Dokument, indem er einen Virus im Microsoft Office File einschleust. Diese Datei sendet er anschließend an potenzielle Opfer weiter. Die gängigste Variante ist dabei der Weg über den E-Mail-Anhang. Oft erfolgt zuvor das notwendige Social-Engineering, um sicherzustellen, dass die Inhalte der E-Mail interessant genug sind, damit Sie sie öffnen. Sollten Sie die Nachricht nicht als Malware erkennen, dann öffnen Sie eine Datei, die einen schädlichen Code enthält. Das könnte beispielsweise der Link zu einer HTML-Datei oder ein JavaScript-Code sein. Dieser wiederum führt den Code via MSDT aus. Das Ergebnis: Die Angreifer können Programme im Rahmen ihres Exploits installieren. Alternativ können die Cyberkriminellen natürlich auch Daten anzeigen, ändern oder zerstören.

Angriffe über CVE-2022-30190 sind großflächig

Office Produkte kommen nicht erst seit der Cloud Transformation zum Einsatz: Für viele Menschen sind sie ein fester Bestandteil im (Berufs-)Alltag. Das macht die Zero-Day-Schwachstelle umso riskanter. Schließlich bietet diese Microsoft Office Sicherheitslücke ein enormes Potenzial für Cyberkriminelle. Einige von ihnen wollen nur Unheil stiften - andere Angreifer stehlen Ihre Zugangsdaten und Informationen um sie anschließend zu verkaufen. Das Fatale an Follina ist jedoch, dass sie sich relativ einfach ausnutzen lässt. Deshalb eignet sie sich ausgezeichnet dafür, Schadsoftware zu verbreiten und Daten auszuspähen. Als Anwender müssen Sie das präparierte Microsoft Office Dokument nur herunterladen - nicht einmal öffnen. Bereits die Vorschau über den Windows Explorer reicht dazu aus, den Schadcode zu aktivieren. Das macht es umso wichtiger, dass Sie solche E-Mails als Malware erkennen und sofort Sicherheitsmaßnahmen ergreifen. Auch ein regelmäßiger Penetrationtest für KMUs hilft Ihnen dabei, den Zustand Ihrer IT-Sicherheit im Auge zu behalten.

Diese Microsoft-Produkte sind von Follina betroffen

Dass Unternehmen von einem durchdachten Sicherheitskonzept profitieren, ist nicht erst seit Follina bekannt. Denn erst vor Kurzem sorgten die Log4j Zero-Day-Schwachstelle oder auch der PrintNightmare für Aufruhr. Nun beweist die CVE-2022-30190 Sicherheitslücke, dass ein zuverlässiges Incident Response Management im Unternehmen unerlässlich ist: Schließlich ist die Zahl an Microsoft Office Anwendern groß. Die Hoffnung, dass die Windows Sicherheitslücke nur bestimmte Versionen der Microsoft-Produkte betrifft, wurde allerdings nicht erfüllt. Da das Ziel der Attacke das MSDT ist, können Angreifer sie auf sämtlichen derzeit gängigen Windows-Betriebssystemen nutzen. Dazu gehören:

  • Sämtliche Microsoft Windows Versionen ab Version 7
  • Alle Server-Versionen ab Windows Server 2008
  • Sämtliche Microsoft Office Anwendungen Die fehlende Eingrenzung an konkret betroffenen Produkten zeigt bereits, wie kritisch die Schwachstelle ist. Sie bietet ein enormes Potenzial für Cyberangriffe, das im Rahmen der Cloud Transformation noch gravierender ausfällt. Dennoch sind es zunächst klassische Word-Dateien, welche die Hackern nutzen.

BSI und Microsoft erhöhen Ihre Risikoeinschätzung

Während Microsoft die Sicherheitslücke am 12. April 2022 noch als "nicht sicherheitsrelevant" eingestuft, hat sich die Situation mittlerweile geändert. Inzwischen wird sie vom Microsoft Security Response Center mit 7,8 von 10 Punkten bewertet. Diese Hochstufung des Schweregrads ging damit einher, dass Microsoft die Arbeit an einem Sicherheitsupdate ankündigte. Auch das BSI (Bundesamt für Sicherheit und Informationstechnik) hat die Gefahr der Schwachstelle erkannt und am 31. Mai 2022 die Warnstufe 3 ausgerufen. Dabei handelt es sich um die zweithöchste Stufe, die eine geschäftskritische IT-Bedrohungslage mit massiven Beeinträchtigungen des regulären Betriebs bedeutet. Was hat Microsoft bisher unternommen? Microsoft hat mittlerweile die Gefahr, die von der Schwachstelle ausgeht, anerkannt. Dennoch steht das Datum für ein Sicherheitsupdate noch nicht fest. Stattdessen empfehlen Microsoft und das BSI, die MSDT-URL-Protokollhandler vorübergehend zu deaktivieren.

Das macht die Follina Sicherheitslücke so tückisch

Dass Tückische an der Problematik ist der direkte Aufruf des MSDT. Mittels ausgewählter Parameter ist es möglich, den URI-Handler Code remote nachzuladen und auszuführen. Dafür müssen Sie das Word File, wie erwähnt, nicht einmal öffnen. Dokumente verursachen auch ungeöffnet Schaden Die mitunter größte Gefahr der Sicherheitslücke besteht darin, dass selbst ungeöffnete Dateien Schaden anrichten können. Dazu gehören nicht nur die Word-Formate, sondern auch RTF-Dokumente. Beide lassen sich von Cyberkriminellen mit Schadcode präparieren. Um diesen schädlichen Code auszuführen, ist es nicht notwendig, die Datei zu öffnen. Bereits die Vorschau im Explorer reicht aus, um ihn aufzurufen. Für Anwender eines Netzwerklaufwerks bedeutet das zudem: Sobald ein Benutzer das Dokument abgelegt und den Ordner öffnet, sind alle User mit aktivierter Vorschauansicht betroffen. Bisherige Lösungen von Microsoft reichen nicht aus Leider liegt derzeit noch keine Lösung von Microsoft für die Sicherheitslücke CVE-2022-30190 vor. Einzig ein Guidance Support-Dokument, das Ihnen zeigt, wie Sie die Schwachstelle abmildern können. Die bereits seit April bekannte Follina-Sicherheitslücke bleibt damit weiterhin ein offenes Risiko für zahlreiche Unternehmen.

So können sich Unternehmen gegen Follina wappnen

Die offizielle Problembehebung von Microsoft lässt darauf hoffen, das bald ein dauerhaftes Patch vorliegt. Bis dahin gilt es, potenzielle Sicherheitsrisiken mit einem Sicherheitskonzept und regelmäßigen Pentests in Schach zu halten. Einer der wichtigsten Lösungsansätze ist es derzeit, die Beziehung zwischen dem Dienstprogramm MSDT.EXE und ms-msdt: URLs zu unterbrechen. Microsoft selbst empfiehlt, das MSDT-URL-Protokoll zu deaktivieren. Dazu sind Administratorrechte notwendig. Der Befehl dafür lautet reg delete HKEY_CLASSES_ROOT\ms-msdt. Vor der Ausführung ist es ratsam, die Registry zu sichern. Dadurch können Sie den ursprünglichen Zustand wiederherstellen, sobald der Workaround nicht länger notwendig ist. Ebenfalls wichtig: Seien Sie hinsichtlich Ihrer E-Mail Anhänge noch vorsichtiger als sonst. Insbesondere dann, wenn sich Microsoft Dokumente im Anhang befinden. Unabhängig von vorherrschenden Sicherheitslücken ist etwa eine regelmäßige statische Code-Analyse als Software-Testverfahren ein wichtiger Schritt für die Verbesserung Ihrer IT-Sicherheit.

Fazit - auf ein dauerhaftes Patch ist noch zu warten

Ein dauerhaftes Patch ist für die Follina Sicherheitslücke noch nicht in Sicht. Da die Schwachstelle bereits im März und April 2022 bekannt wurde, ist das fehlende Patch ein Grund zur Besorgnis. Sobald ein solches aber vorliegt, sollten Sie es unbedingt nutzen! Trotzdem reicht diese Aussicht nicht aus: Die meisten Unternehmen erleiden früher oder später einen Angriff, den sie bewältigen müssen. In einem solchen Ernstfall ist es notwendig, auf ein funktionierendes Incident Response Management zurückgreifen zu können. Das zugrunde liegende Sicherheitskonzept sowie ein regelmäßiger Penetrationtest für KMUs und die statische Code-Analyse helfen Ihnen dabei, die Gefahren abzumildern. Schließlich können Schwachstellen wie die Log4j Zero-Day-Schwachstelle, der PrintNightmare oder Follina immer wieder auftreten. Eine gute Vorbereitung auf solche Vorkommnisse ist daher unerlässlich. Insbesondere Schulungen durch Experten bereiten Sie und Ihre Mitarbeitenden darauf vor und zeigen Ihnen, worauf es im Ernstfall ankommt.

Kontakt

Neugierig? Überzeugt? Interessiert?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Vertriebsmitarbeiter. Nutzen Sie den folgenden Link, um einen Termin auszuwählen:

Lädt...