Microsoft-Office-Schwachstelle „Follina“

Zero-Day-Lücke erlaubt RCE ohne Makros

2. Juni 2022, 7:00 Uhr | Wilhelm Greiner
MSDT-Popup-Fenster
© Sophos

Eine jüngst entdeckte Office-Sicherheitslücke nutzt Microsofts Support Diagnostic Tool (MSDT) und ermöglicht damit laut Sicherheitsforschern RCE (Remote Code Execution), selbst wenn in den dabei genutzten Office-Dateien die Makros deaktiviert sind. Microsoft hat zügig einen Workaround vorgestellt. Fachleute von Sophos und Tenable erläutern das Risiko dieser Schwachstelle und das Vorgehen potenzieller Angreifer.

„Am Wochenende begannen Security-Forscher, über eine Zero-Day-Schwachstelle für die Remote-Code-Ausführung (RCE) zu diskutieren, die über Microsoft-Office-Dokumente ausgenutzt werden kann, einem bevorzugten Angriffsvektor“, kommentierte Claire Tills, Senior Research Engineer bei Tenable. „Am Montag veröffentlichte Microsoft einige offizielle Details zu CVE-2022-30190 und wies darauf hin, dass die RCE-Schwachstelle die Microsoft Windows Diagnostic Tools betrifft.“ Microsoft veröffentlichte keine Patches, aber eine Anleitung zur Schadensbegrenzung (Workaround).
 
Die RCE-Schwachstelle, so Tills, „scheint bereits im April ausgenutzt worden zu sein und erlangte erst kürzlich breite öffentliche Aufmerksamkeit, nachdem ein Forscher begann, ein schädliches Sample auf VirusTotal zu untersuchen. Im Laufe des Wochenendes reproduzierten mehrere Forscher das Problem und stellten fest, dass es sich um einen ‚Zero-Click‘-Exploit handelt, was bedeutet, dass keine Benutzerinteraktion erforderlich ist.“ Tenable erwarte deshalb weitere Entwicklungen und Ausnutzungsversuche dieser Schwachstelle.

Warum die Schwachstelle CVE-2022-30190 – von ihrem Entdecker, dem Sicherheitsforscher Kevin Beaumont, „Follina“ getauft – gefährlich ist, erläuterte Sophos-Experte Paul Ducklin in einem Blog-Beitrag. Den Ablauf zum Ausnutzen der Lücke beschreibt Ducklin wie folgt: Ein Anwender öffnet eine mit versteckter Malware versehene .doc-Datei, die er zum Beispiel per E-Mail erhalten hat. Das Dokument verweist auf eine normal aussehende HTTPS-URL, die heruntergeladen wird. Diese URL verweist auf eine HTML-Datei, die JavaScript-Code enthält, das JavaScript wiederum verweist auf eine URL mit dem Identifier MS-MSDT (statt HTTPS). Dies ist ein Microsoft-eigener URL-Typ, der das Microsoft Support Diagnostic Tool startet. Die zum MSDT via URL übermittelte Befehlszeile triggert die Ausführung nicht vertrauenswürdigen Codes.
 
Der bösartige Link löst laut dem Sophos-Experten beim Aufruf einen MSDT-Befehl wie dem folgenden aus: msdt /id pcwdiagnostic .... Bei manueller Ausführung ohne andere Parameter lädt dieser Befehl automatisch MSDT und ruft die harmlos aussehende Programmkompatibilitäts-Fehlerbehebung auf (siehe Bild oben). Obwohl Anwender wahrscheinlich nicht erwarten, durch das Öffnen eines Word-Dokuments in dieses Diagnoseprogramm zu kommen, besteht doch das Risiko, dass sie hier einfach auf „OK“ klicken.
 
Im „Follina“-Fall, so Ducklin, seien Angreifer offenbar auf tückische Möglichkeiten gestoßen, um sich in die Befehlszeile einzuschleichen. In der Folge könnten sie die MSDT-Fehlerbehebung aus der Ferne nutzen. Statt dass das Tool, wie sonst üblich, den Anwender fragt, wie er fortfahren möchte, haben die Kriminellen Parameter konstruiert, um den Vorgang automatisch ablaufen zu lassen, während sie zugleich ein PowerShell-Skript aufrufen. Dieses PowerShell-Skript, so Ducklin, müsse sich noch nicht einmal in einer Datei auf der Festplatte befinden – es könne als verschlüsselter Quellcode direkt aus der Befehlszeile selbst bereitgestellt werden, zusammen mit allen anderen verwendeten Optionen.
 
Wichtig ist dabei laut dem Security-Forscher der Umstand, dass dieser Angriff von Word ausgelöst wird, das auf die betrügerische MS-MSDT-URL verweist. Dadurch seien keine VBA-Office-Makros notwendig. Dieser Angriff funktioniere also selbst dann, wenn die Office-Makros deaktiviert sind.
 
„So praktisch die proprietären ms-xxxx-URLs von Microsoft auch sein mögen, die Tatsache, dass sie darauf ausgelegt sind, Prozesse automatisch zu starten, wenn bestimmte Dateitypen geöffnet oder auch nur in der Vorschau angezeigt werden, ist eindeutig ein Sicherheitsrisiko“, betont Sophos-Experte Ducklin.
 
„Da es sich um einen Zero-Click-Exploit handelt, kann der einzelne Benutzer nicht viel tun, aber eine gesunde Portion Skepsis ist sehr hilfreich“, kommentierte Tenable-Forscherin Tills. „Nutzer sollten bei Anhängen aus nicht vertrauenswürdigen Quellen immer misstrauisch sein.“

Den Workaround zur Mitigation dieser Schwachstelle hat Microsoft hier beschrieben.

 

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass

Verwandte Artikel

Microsoft Deutschland GmbH, Sophos GmbH, Tenable Network Security GmbH

Cybercrime

Schwachstelle