Microsoft Office: Zero-Day-Sicherheitslücke "Follina" liefert Einfallstor für Hacker

[PCGH-Redaktion]

Jetzt ist Ihre Meinung gefragt zu Microsoft Office: Zero-Day-Sicherheitslücke "Follina" liefert Einfallstor für Hacker

Ein Sicherheitsforscher hat in MS Office eine Zero-Day-Sicherheitslücke entdeckt, die es Hackern aktuell besonders einfach macht, Systeme über eine DOC-Datei mit Malware zu infizieren. Wir fassen zusammen, was Office-Nutzer beachten müssen und wie Sie sich vor "Follina" schützen können.

Bitte beachten Sie: Der Kommentarbereich wird gemäß der Forenregeln moderiert. Allgemeine Fragen und Kritik zu Online-Artikeln von PC Games Hardware sind im Feedback-Thread zu veröffentlichen und nicht im Kommentarthread zu einer News. Dort werden sie ohne Nachfragen entfernt.

Zurück zum Artikel: Microsoft Office: Zero-Day-Sicherheitslücke "Follina" liefert Einfallstor für Hacker

 

[ni-bi]

Hole Sh*t ... das Ding kommt ja direkt aus der Code Hölle.

Hier ein Link zu einem PoC:

Eingebundener Inhalt

twitter.com/i/web/status/1531423415088947201

An dieser Stelle findest du externe Inhalte von Twitter. Zum Schutz deiner persönlichen Daten werden externe Einbindungen erst angezeigt, wenn du dies durch Klick auf "Alle externen Inhalte laden" bestätigst: Alle externen Inhalte laden Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit werden personenbezogene Daten an Drittplattformen übermittelt.
Für mehr Informationen besuche die Datenschutz-Seite.

 

[LastManStanding]

Alle Versionen oder? Meine ist 15 jahre alt

 

[Painkiller]

Alle Versionen oder? Meine ist 15 jahre alt

Laut Microsoft ist nicht Office das Problem, sondern das Windows Support Diagnostic Tool.

Ich zitiere mal Heise Security:

Das Unternehmen verortet den Fehler nicht im Office-Paket, durch das bisherige Angriffe mit einem bösartig manipulierten Word-Dokument stattfanden. Die Lücke betreffe das Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190, CVSS 7.8, Risiko "hoch").

Konkret erläutert Microsoft die Lücke folgendermaßen: Eine Schwachstelle, die das Ausführen beliebigen Codes aus dem Netz ermöglicht, tritt auf, wenn MSDT mit dem URL-Protokoll von einer Anwendung wie Word aufgerufen wird. Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen. Dies ermöglicht etwa das Installieren von Programmen, das Einsehen, Verändern oder Löschen von Daten oder das Anlegen neuer Konten im Kontext der Nutzerrechte.

Die Zero-Day Lücke wird bereits aktiv ausgenutzt:

Zero-Day-Lücke: Erste Cybergangs greifen MSDT-Sicherheitslücke an

Die Zero-Day-Lücke von Microsoft wird inzwischen von Cybergangs für Angriffe missbraucht. Der Hersteller ordnete das Problem erst falsch als irrelevant ein.

www.heise.de

Aber der eigentliche Fuckup ist ein anderer. Die Lücke ist nämlich bereits 2020 entdeckt worden.

Eine IT-SecSpecialist hat die Lücke am 12.04. ebenfalls an Microsoft gemeldet. Ergebnis:

Bisher gibt es nur ein Workaround über die Registry:

Nutzer müssen zunächst eine administrative Eingabeaufforderung öffnen. Der Befehl reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname> sichert den bisherigen Registry-Schlüssel in die Datei <Dateiname>. Im Anschluss lösche der Aufruf von reg delete HKEY_CLASSES_ROOT\ms-msdt /f den betreffenden Schlüssel. Zur späteren Wiederherstellung genügt dann der Aufruf von reg import <Dateiname> an der administrativen Eingabeaufforderung.

 

[LastManStanding]

Ich Danke Dir

 

[Poulton]

Und auf Follina folgt SearchNightmare:

SearchNightmare: Windows 10 search-ms: URI Handler 0-day Exploit mit Office 2019

[English]Nach der Entdeckung des Missbrauchs der Follina-Schwachstelle (CVE-2022-30190) über das Windows ms-msdt-Protokolls wird diese Bastion „sturmreif“ geschossen. Ein Hacker hat sich den search…

www.borncity.com

 

[Painkiller]

Und auf Folina folgt SearchNightmare:

Am besten finde ich den Posts von Günter Born in den Kommentaren.

Und das ist vermutlich nicht das Ende der Fahnenstange. Nachdem die ms-msdt-Protokollschwachstelle (Follina) bekannt wurde, gab es sofort die Vermutung, dass weitere Protokollhandler ebenfalls angreifbar wären. Der ms-search 0-day ist nur der Anfang.


Abhilfe? Goto Linux or macOS

Gefolgt von:

Es ist schon bezeichnend, was uns in den letzten 2-3 Jahren an prinziellen Fehler und Patch-Problemen arg auf die Füße gefallen ist.

 

[Poulton]

MacOS ist aber auch eher vom Regen in die Traufe, auch wenn als VM mit durchgereichter Grafikkarte und entgegen Apples mimimi ganz nett. Apple ist mit eines der größten Gegner des Right to Repair und z.B. MacOS 11 ist mir dahingehend in Erinnerung geblieben, dass es reihenweise Geräte gebrickt hatte.