01.06.2022
Aktuell sorgt eine kritische, nicht gepatchte Sicherheitslücke in Microsoft Office in Kombination mit dem Microsoft Diagnostics Tool (MSDT) für Schlagzeilen. Besonders bedrohlich ist die Tatsache, dass sich die Zero-Day-Lücke ohne das Öffnen eines entsprechend präparierten Office-Dokuments ausnutzen lässt.
Microsoft hat die inzwischen Follina genannte Sicherheitslücke CVE-2022-30190 bestätigt, die eine Remote Code Execution (RCE) ermöglicht, “wenn MSDT unter Verwendung des URL-Protokolls von einer Anwendung wie Word aufgerufen wird.” Die Sicherheitsfirma Huntress geht in einer Analyse davon aus, dass die Sicherheitslücke in den nächsten Tagen in größerem Stil ausgenutzt wird.
Die Schwachstelle ermöglicht es Angreifern, beliebigen Code mit den Rechten der aufrufenden Anwendung auszuführen, so Microsoft. Das Perfide an der Schwachstelle ist, dass das Aktivieren von Makros oder das Öffnen des Office-Programm nicht notwendig ist, um eine Infektion hervorzurufen: Es reicht bereits aus, bei einer heruntergeladenen Datei eine Hover-Vorschau auszulösen.
Ist ein Rechner infiziert, kann der Angreifer “Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem von den Rechten des Benutzers erlaubten Kontext erstellen”, erklärt Microsoft. Außerdem weist Microsoft darauf hin, dass auch das sogenannte Chaining von Sicherheitslücken denkbar ist. Dabei wird eine Sicherheitslücke wie Follina zur Infektion des Rechners genutzt; weitere Sicherheitslücken werden dann beispielsweise zum Ausweiten der Rechte verwendet.
Die offizielle CVE Nummer lautet CVE-2022-30190. Die offizielle BSI Bekanntgabe finden Sie hier.
Wenn der bösartige ms-msdt:-Link aufgerufen wird, löst er einen MSDT-Befehl mit Befehlszeilenargumenten wie dem folgenden aus: msdt /id pcwdiagnostic …. Wenn es von Hand ausgeführt wird, ohne andere Parameter, lädt dieser Befehl automatisch MSDT und ruft die Programmkompatibilitäts-Fehlerbehebung auf, die harmlos aussieht.
Microsoft hat einen Workaround zur Behebung der Schwachstelle veröffentlicht. Bitte nutzen Sie diesen Workaround bis ein offizieller Patch zur Verfügung steht.
Bei Fragen oder zur Unterstützung stehen wir Ihnen über unser Kontaktformular jederzeit zur Verfügung.
Im Durchschnitt dauert es 34 Tage, bis Unternehmen bemerken, dass Cyber-Kriminelle auf Entdeckungstour im eigenen Netzwerk unterwegs sind.
mehr lesen