von Redaktion IT-A…
Lesezeit
1 Minute
Kritische Office-Lücke schlägt Wellen
Die Ende Mai entdeckte Schwachstelle im Windows-Protokoll-Handler "ms-msdt" namens "Follina" schlägt weiter Wellen. Nun haben es Angreifer offenbar auf europäische Regierungen und US-amerikanische Verwaltungen abgesehen. Hierfür versendeten sie Phishing-Mails mit manipulierten RTF-Dokumenten, bei denen der Exploit bereits ohne das Öffnen des Word-Dokuments abläuft.
Derzeit klafft eine kritische Schwachstelle im Windows-Protokoll-Handler "ms-msdt", der dem bordeigenen Diagnosetool zugeordnet ist. Über ein präpariertes Word-Dokument können Hacker beliebigen Schadcode aus dem Internet nachladen und auf dem Rechner ausführen. Im Fall von Rich-Text-Dokumenten (RTF) genügt es bereits, wenn die Opfer das File lediglich im Windows-Datei-Explorer als Vorschau betrachten. Das macht die Lücke so gefährlich. Zuletzt hatten Angreifer es auf europäische und US-amerikanische Regierungsbehörden abgesehen und per Phishing-Mails schädliche RTF-Files versendet.
Ans Tageslicht kam die Schwachstelle, die unter anderem Microsoft Office 2013 bis 2021 sowie 365 betrifft, Ende Mai. Die bislang bekannten Angriffe reichen jedoch bereits bis Mitte April zurück. Da der Bug zu diesem Zeitpunkt Microsoft und Anbietern von Client-Security-Produkten unbekannt war, dürften die Attacken sehr wahrscheinlich unbemerkt vonstatten gegangen sein. Organisationen müssen daher davon ausgehen, dass sie erfolgreich angegriffen wurden (Assume Breach). Feststellen lässt sich dies beispielsweise durch verdächtige Kommunikation ins Internet seitens ms-msdt oder Microsoft Office – sofern hiervon noch Einträge in den Security-Systemen vorhanden sind.
Protokoll-Handler per Registry deaktivieren
Microsoft rät in der Zwischenzeit Unternehmen [1], den betreffenden Protokoll-Handler ganz zu deaktivieren. Dies lässt sich am einfachsten über eine Registry-Änderung bewerkstelligen, indem Admins zunächst den Registry-Key "HKEY_CLASSES_ROOT\ms-msdt" sichern mit dem Befehl
reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname>
und anschließend löschen mittels
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Steht irgendwann ein Patch bereit, der die Lücke zuverlässig schließt, lässt sich der Key über die durchgeführte Sicherung wieder einspielen (reg import <Dateiname>). Auf einem anderen Blatt steht allerdings, ob dies der letzte kritische Fehler in der Familie der Protokoll-Handler war, denn ms-msdt ist längst nicht der einzige und wo ein derartiger Bug auftaucht, sind andere vermutlich nicht allzu weit.
dr
[1] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
Ans Tageslicht kam die Schwachstelle, die unter anderem Microsoft Office 2013 bis 2021 sowie 365 betrifft, Ende Mai. Die bislang bekannten Angriffe reichen jedoch bereits bis Mitte April zurück. Da der Bug zu diesem Zeitpunkt Microsoft und Anbietern von Client-Security-Produkten unbekannt war, dürften die Attacken sehr wahrscheinlich unbemerkt vonstatten gegangen sein. Organisationen müssen daher davon ausgehen, dass sie erfolgreich angegriffen wurden (Assume Breach). Feststellen lässt sich dies beispielsweise durch verdächtige Kommunikation ins Internet seitens ms-msdt oder Microsoft Office – sofern hiervon noch Einträge in den Security-Systemen vorhanden sind.
Protokoll-Handler per Registry deaktivieren
Microsoft rät in der Zwischenzeit Unternehmen [1], den betreffenden Protokoll-Handler ganz zu deaktivieren. Dies lässt sich am einfachsten über eine Registry-Änderung bewerkstelligen, indem Admins zunächst den Registry-Key "HKEY_CLASSES_ROOT\ms-msdt" sichern mit dem Befehl
reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname>
und anschließend löschen mittels
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Steht irgendwann ein Patch bereit, der die Lücke zuverlässig schließt, lässt sich der Key über die durchgeführte Sicherung wieder einspielen (reg import <Dateiname>). Auf einem anderen Blatt steht allerdings, ob dies der letzte kritische Fehler in der Familie der Protokoll-Handler war, denn ms-msdt ist längst nicht der einzige und wo ein derartiger Bug auftaucht, sind andere vermutlich nicht allzu weit.
dr
[1] https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
