Am 27.05.2022 warnten Sicherheitsforschende der Gruppe nao_sec vor einer Schwachstelle des Microsoft Windows Support Diagnostic Tool (MSDT).
Die auf den Namen “Follina” getaufte Sicherheitslücke CVE-2022-30190, erlaubt Angreifern das Ausführen beliebiger Powershell—Befehle und somit z.B. die Installation von Ransomware oder das Ausspähen von Daten auf den Zielsystemen.
Die Schwachstelle birgt somit ein erhebliches Risiko für die IT-Sicherheit der gesamten Organisation, da durch von einem Angreifer gesteuerte Systeme etwa Schadsoftware innerhalb des Netzwerkes der Organisation verbreitet werden kann.
Das besondere Gefahrenpotenzial der Schwachstelle liegt in ihrer relativen Einfachheit. Nachdem ein entsprechend präpariertes Office Dokument heruntergeladen wurde, aktiviert das Laden der Vorschau-Ansicht im Windows Explorer den Schadcode. Das Dokument muss also nicht durch den Nutzer geöffnet werden, die Benutzerinteraktion, die für ein Ausführen des Schadcodes benötigt wird, ist minimal. In Sicherheitskreisen wird im Zusammenhang mit “Follina” daher von einem “Zero Click Exploit” gesprochen.
Dabei setzt der Exploit nicht an der bekanntermaßen anfälligen Implementierung von VBA-Makros, sondern am “ms-msdt”-Protkoll an.
Dieses Protokoll liegt der Windows-internen, automatisierten Fehlerbehebung zu Grunde und ist daher standardmäßig in allen Microsoft Windows Versionen ab Windows 7, sowie Windows Server Versionen ab Windows Server 2008 aktiviert.
Ursprünglich wurde angenommen, dass “Follina” nur im Zusammenhang mit bestimmten Microsoft Office-Versionen ausgenutzt werden könne.
In den vergangenen Tagen mehrten sich jedoch die Hinweise, dass eine Ausnutzung der Schwachstelle auch unabhängig von Microsoft Office Anwendungen möglich ist.
Aufbauend auf der Erforschung des Exploits durch die Sicherheitsexperten John Hammond und @KevTheHermit, konnten Sicherheitsforschende der KALWEIT ITS zwei MS Office-unabhängige Angriffsvektoren verifizieren.
Berichten zufolge scheinen aktuelle Angriffsversuche dennoch in erster Linie auf manipulierte Office Dokumente als primären Modus der Verteilung des Schadcodes zu setzen.
So meldete der von der Sicherheitsfirma proofpoint betriebene Twitter-Account Threat Insight am 03.06.2022 eine Email-basierte Kampagne, welche sich gegen europäische und US-amerikanische (Lokal-)Verwaltungen richtete. Unbestätigten Meldungen zufolge, fanden zudem Angriffe auf ukrainische Behörden, sowie eine Kampagne im ozeanischen Raum statt.
Am 31.05.2022 reagierte das BSI mit einer Meldung der zweithöchsten Warnstufe “3 / Orange” (“Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.”) auf die Vorkommnisse.
In Microsoft’s “Security Response Center” (MSRC) wird der Schweregrad der Schwachstelle) mit 7.8 von 10 bewertet, an selber Stelle gibt Microsoft ebenfalls an, an einem Sicherheitsupdate zu arbeiten.
So lange dies noch nicht erschienen ist, empfehlen das BSI und Microsoft übereinstimmend den MSDT-URL-Protokollhandler mittels Registry-Keys zu deaktivieren:
Dies geling wie folgt:
- Die Eingabeaufforderung mit Administratorrechten ausführen.
- Als nächstes sollte ein Backup des Registry-Keys erstellt werden. So kann dieser nach einem erfolgten Sicherheitsupdate (oder bei durch das Löschen des Keys auftretenden Problemen) wiederhergestellt werden. Dies geschieht mit dem Befehl:
reg export HKEY_CLASSES_ROOT\ms-msdt Mein_Dateiname
- Anschließend wird der Registry-Key mit dem folgenden Befehl gelöscht:
reg delete HKEY_CLASSES_ROOT\ms-msdt /f