{"id":1893,"date":"2022-06-07T16:40:03","date_gmt":"2022-06-07T14:40:03","guid":{"rendered":"https:\/\/kalweit-its.de\/?p=1893"},"modified":"2022-06-07T16:59:07","modified_gmt":"2022-06-07T14:59:07","slug":"follina-schwachstelle","status":"publish","type":"post","link":"https:\/\/kalweit-its.de\/follina-schwachstelle\/","title":{"rendered":"Follina Zero-Day Schwachstelle (CVE-2022-30190)"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

Am 27.05.2022 warnten Sicherheitsforschende der Gruppe <\/mark>nao_sec<\/mark><\/a> <\/mark>vor einer Schwachstelle des Microsoft Windows Support Diagnostic Tool (MSDT).<\/p>\n\n\n\n

Die auf den Namen \u201cFollina\u201d getaufte Sicherheitsl\u00fccke CVE-2022-30190<\/mark><\/a>, erlaubt Angreifern das Ausf\u00fchren beliebiger Powershell\u2014Befehle und somit z.B. die Installation von Ransomware oder das Aussp\u00e4hen von Daten auf den Zielsystemen.<\/p>\n\n\n\n

Die Schwachstelle birgt somit ein erhebliches Risiko f\u00fcr die IT-Sicherheit der gesamten Organisation, da durch von einem Angreifer gesteuerte Systeme etwa Schadsoftware innerhalb des Netzwerkes der Organisation verbreitet werden kann.<\/p>\n\n\n\n

Das besondere Gefahrenpotenzial der Schwachstelle liegt in ihrer relativen Einfachheit. Nachdem ein entsprechend pr\u00e4pariertes Office Dokument heruntergeladen wurde, aktiviert das Laden der Vorschau-Ansicht im Windows Explorer den Schadcode. Das Dokument muss also nicht durch den Nutzer ge\u00f6ffnet werden, die Benutzerinteraktion, die f\u00fcr ein Ausf\u00fchren des Schadcodes ben\u00f6tigt wird, ist minimal. In Sicherheitskreisen wird im Zusammenhang mit \u201cFollina\u201d daher von einem \u201cZero Click Exploit\u201d gesprochen.<\/p>\n\n\n\n

Dabei setzt der Exploit nicht an der bekannterma\u00dfen anf\u00e4lligen Implementierung von VBA-Makros, sondern am \u201cms-msdt\u201d-Protkoll an.<\/p>\n\n\n\n

Dieses Protokoll liegt der Windows-internen, automatisierten Fehlerbehebung zu Grunde und ist daher standardm\u00e4\u00dfig in allen Microsoft Windows Versionen ab Windows 7, sowie Windows Server Versionen ab Windows Server 2008 aktiviert.<\/p>\n\n\n\n

Urspr\u00fcnglich wurde angenommen, dass \u201cFollina\u201d nur im Zusammenhang mit bestimmten Microsoft Office-Versionen ausgenutzt werden k\u00f6nne. <\/p>\n\n\n\n

In den vergangenen Tagen mehrten sich jedoch die Hinweise, dass eine Ausnutzung der Schwachstelle auch unabh\u00e4ngig von Microsoft Office Anwendungen m\u00f6glich ist.<\/p>\n\n\n\n

Aufbauend auf der Erforschung des Exploits durch die Sicherheitsexperten <\/mark>John Hammond<\/mark><\/a> <\/mark>und @KevTheHermit<\/mark><\/a>, konnten Sicherheitsforschende der KALWEIT ITS zwei MS Office-unabh\u00e4ngige Angriffsvektoren verifizieren.<\/p>\n\n\n\n

Berichten zufolge scheinen aktuelle Angriffsversuche dennoch in erster Linie auf manipulierte Office Dokumente als prim\u00e4ren Modus der Verteilung des Schadcodes zu setzen.<\/p>\n\n\n\n

So meldete der von der Sicherheitsfirma proofpoint betriebene Twitter-Account Threat Insight<\/mark><\/a> <\/mark>am 03.06.2022 eine Email-basierte Kampagne, welche sich gegen europ\u00e4ische und US-amerikanische (Lokal-)Verwaltungen richtete. Unbest\u00e4tigten Meldungen zufolge, fanden zudem Angriffe auf ukrainische Beh\u00f6rden, sowie eine Kampagne im ozeanischen Raum statt.<\/p>\n\n\n\n

Am 31.05.2022 reagierte das BSI mit einer Meldung der zweith\u00f6chsten Warnstufe<\/mark><\/a> \u201c3 \/ Orange\u201d (\u201cDie IT-Bedrohungslage ist gesch\u00e4ftskritisch. Massive Beeintr\u00e4chtigung des Regelbetriebs.\u201d) auf die Vorkommnisse.<\/p>\n\n\n\n

In Microsoft\u2019s \u201cSecurity Response Center\u201d (MSRC) wird der Schweregrad der Schwachstelle<\/mark><\/a>) mit 7.8 von 10 bewertet, an selber Stelle gibt Microsoft ebenfalls an, an einem Sicherheitsupdate zu arbeiten.<\/p>\n\n\n\n

So lange dies noch nicht erschienen ist, empfehlen das BSI und Microsoft \u00fcbereinstimmend den MSDT-URL-Protokollhandler mittels Registry-Keys zu deaktivieren:<\/p>\n\n\n\n

Dies geling wie folgt:<\/p>\n\n\n\n