Microsoft: Zero Day in Office ermöglicht Remote Code Execution
Mit dem Mauszeiger über eine Office-Datei zu fahren reicht, um sich mit der Follina genannten Sicherheitslücke zu infizieren. Einen Patch gibt es nicht.

Eine bis dato nicht gepatchte Sicherheitslücke in Microsoft Office in Kombination mit dem Microsoft Diagnostics Tool (MSDT) lässt sich ohne das Öffnen eines entsprechend präparierten Office-Dokuments ausnutzen. Demnach reicht es für eine Infektion aus, bei einer bereits heruntergeladenen Datei eine Hover-Vorschau auszulösen. Die Sicherheitsfirma Huntress geht in einer Analyse davon aus, dass die Follina genannte Zero Day (CVE-2022-30190) in den nächsten Tagen im größeren Stil ausgenutzt wird.
Microsoft hat die Sicherheitslücke bestätigt, die eine Remote Code Execution (RCE) ermöglicht, "wenn MSDT unter Verwendung des URL-Protokolls von einer Anwendung wie Word aufgerufen wird." Ein Angreifer, der die Schwachstelle ausnutze, könne beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen, teilte Microsoft mit. Ein Aktivieren von Makros oder gar das Öffnen des Office-Programmes ist nicht notwendig.
"Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem von den Rechten des Benutzers erlaubten Kontext erstellen", erklärt Microsoft. Allerdings ist das sogenannte Chaining von Sicherheitslücken nicht unüblich. Dabei wird beispielsweise eine Sicherheitslücke wie Follina zur Infektion des Rechners genutzt, während eine weitere zur Ausweitung der Rechte verwendet wird.
Im März vergangenen Jahres berichtete beispielsweise Googles Project Zero von einer Hackergruppe, die solche Exploit-Ketten unter iOS, Windows und Android verwendet hatte. Bei der Hackergruppe soll es sich um einen westlichen Geheimdienst handeln.
Microsoft gibt Tipps, die vor Follina schützen sollen
Um das Ausnutzen der Sicherheitslücke zu verhindern, rät Microsoft das MSDT-URL-Protokoll zu deaktivieren. Dazu müsse die Eingabeaufforderung als Administrator gestartet und mit zwei Befehlen der Registrierungsschlüssel gesichert und anschließend gelöscht werden. Zudem verweist Microsoft auf die Cloud-Protection seiner Antivirus-Software Defender.
Der Twitter-Nutzer Gitworm hat bereits ein Video eines Proof of Concept (PoC) veröffentlicht, der beim Hovern einer RTF-Datei den Taschenrechner von Windows über ein aktuelles, aber verwundbares Office365 startet.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Den Eintrag HKEY_CLASSES_ROOT\ms-msdt gibt es bei mir nicht in der Registry. Windows7 und...
Eben. Zumal es hier auch nicht um eine Lücke im Windows-Kernel geht, sondern in einer...
Troubleshooter-Links in Anwendungen funktionieren nicht mehr. Man muss für die Nutzung...
Kommentieren