Meldung

Kritische Office-Lücke schlägt Wellen

Die Ende Mai entdeckte Schwachstelle im Windows-Protokoll-Handler "ms-msdt" namens "Follina" schlägt weiter Wellen. Nun haben es Angreifer offenbar auf europäische Regierungen und US-amerikanische Verwaltungen abgesehen. Hierfür versendeten sie Phishing-Mails mit manipulierten RTF-Dokumenten, bei denen der Exploit bereits ohne das Öffnen des Word-Dokuments abläuft.
Benannt wurde die Schwachstelle nach dem italienischen Ort Follina, da dessen Vorwahl zufällig als Ziffernfolge im Exploit auftaucht.
Derzeit klafft eine kritische Schwachstelle im Windows-Protokoll-Handler "ms-msdt", der dem bordeigenen Diagnosetool zugeordnet ist. Über ein präpariertes Word-Dokument können Hacker beliebigen Schadcode aus dem Internet nachladen und auf dem Rechner ausführen. Im Fall von Rich-Text-Dokumenten (RTF) genügt es bereits, wenn die Opfer das File lediglich im Windows-Datei-Explorer als Vorschau betrachten. Das macht die Lücke so gefährlich. Zuletzt hatten Angreifer es auf europäische und US-amerikanische Regierungsbehörden abgesehen und per Phishing-Mails schädliche RTF-Files versendet.

Ans Tageslicht kam die Schwachstelle, die unter anderem Microsoft Office 2013 bis 2021 sowie 365 betrifft, Ende Mai. Die bislang bekannten Angriffe reichen jedoch bereits bis Mitte April zurück. Da der Bug zu diesem Zeitpunkt Microsoft und Anbietern von Client-Security-Produkten unbekannt war, dürften die Attacken sehr wahrscheinlich unbemerkt vonstatten gegangen sein. Organisationen müssen daher davon ausgehen, dass sie erfolgreich angegriffen wurden (Assume Breach). Feststellen lässt sich dies beispielsweise durch verdächtige Kommunikation ins Internet seitens ms-msdt oder Microsoft Office – sofern hiervon noch Einträge in den Security-Systemen vorhanden sind.

Protokoll-Handler per Registry deaktivieren
Microsoft rät in der Zwischenzeit Unternehmen [1], den betreffenden Protokoll-Handler ganz zu deaktivieren. Dies lässt sich am einfachsten über eine Registry-Änderung bewerkstelligen, indem Admins zunächst den Registry-Key "HKEY_CLASSES_ROOT\ms-msdt" sichern mit dem Befehl

reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname>

und anschließend löschen mittels

reg delete HKEY_CLASSES_ROOT\ms-msdt /f

Steht irgendwann ein Patch bereit, der die Lücke zuverlässig schließt, lässt sich der Key über die durchgeführte Sicherung wieder einspielen (reg import <Dateiname>). Auf einem anderen Blatt steht allerdings, ob dies der letzte kritische Fehler in der Familie der Protokoll-Handler war, denn ms-msdt ist längst nicht der einzige und wo ein derartiger Bug auftaucht, sind andere vermutlich nicht allzu weit.

Weitere Infos:

[1] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

7.06.2022/dr

Tipps & Tools

Kostenlos freier surfen [1.07.2022]

Im Internet auch anonym unterwegs sein zu können, sollte für IT-Profis längst selbstverständlich sein. Dabei unterstützt Sie das Tool "Windscribe", das Sie das VPN des kanadischen Anbieters unter begrenztem Datenvolumen kostenfrei nutzen lässt und so sowohl Werbetracker unterbindet als auch Content-Sperren einfach umgeht. [mehr]

Sensible Infos sicher teilen [24.06.2022]

Zwar bietet die Verschlüsselung von beispielsweise per E-Mail oder Messanger übermittelten Informationen bereits ein ordentliches Datenschutzniveau. Doch für Mitteilungen mit besonders sensiblem Inhalt wie Finanzdetails oder Passwörter wünschen sich mancher Anwender eine weitere Absicherung. Für sie wartet das kostenfrei nutzbare Internetportal "Saltify" zusätzlich mit Phrasen-Passwort und einer Halbwertszeit von Daten auf. [mehr]

Schwache Passwörter vermeiden [23.06.2022]

Unternehmenszugänge für rund 2000 US-Dollar erhältlich [21.06.2022]

[weitere Tipps & Tools]

Fachartikel

Kritische Infrastrukturen im Cyberkrieg [29.06.2022]

Internationale Konflikte werden längst nicht mehr nur auf dem Land, zu Wasser oder in der Luft ausgetragen. Mit dem Cyberspace ist eine neue Dimension der Kriegsführung hinzugekommen. Dies zeigt sich auch aktuell: So geraten ukrainische Netzwerke ins Visier russischer Hacker, während private Akteure wie Anonymous Russland mit Hackbacks drohen. Unser Beitrag beleuchtet, wie sich die Zukunft der staatlichen Cybersicherheit vor diesem Hintergrund verändert, insbesondere wenn diese – etwa in der NATO – international organisiert ist. [mehr]

Schwache Passwörter vermeiden [22.06.2022]

[weitere Fachartikel]

Sponsored Links

  AdminByRequest jetzt kostenlos testen! AdminByRequest kostenlos auf bis zu 25 Endgeräten testen. Schnell, unkompliziert und einfach mit der AdminByRequest Software Adminrechte verwalten! Jetzt kostenlos runterladen oder DEMO buchen!
  Sichere Home-Offices und vernetzte Infrastrukturen mit Cloud-basierten Barracuda Lösungen umsetzen. Sichere E-Mails, Netzwerke, Daten & Anwendungen.

Partner Links

  IT-Forum, News und Knowledgebase, Diskussionsforum mit einer Wissensdatenbank für alle IT-Benutzergruppen
  Die Coronakrise trifft diejenigen am härtesten, die ohnehin benachteiligt sind. Ärzte der Welt unterstützt diese Menschen und hilft so, die Verbreitung des Virus zu verlangsamen - in Deutschland und auf der ganzen Welt. Helfen Sie auch - mit einer Spende!

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

[weitere Bücher]

Nächster Workshop

Online-Intensivseminar »Einführung in Windows Server 2019«

Intensivseminar »Office 365 bereitstellen und absichern« - vor Ort und online

[weitere Workshops]

Aktuelle Admin-Jobs

Anzeigen