Microsoft: Zero Day in Office ermöglicht Remote Code Execution

Mit dem Mauszeiger über eine Office-Datei zu fahren reicht, um sich mit der Follina genannten Sicherheitslücke zu infizieren. Einen Patch gibt es nicht.

Artikel veröffentlicht am ,
Eine gefährliche Zero Day in Microsoft Office beziehungsweise MSDT.
Eine gefährliche Zero Day in Microsoft Office beziehungsweise MSDT. (Bild: Gerd Altmann/Pixabay)

Eine bis dato nicht gepatchte Sicherheitslücke in Microsoft Office in Kombination mit dem Microsoft Diagnostics Tool (MSDT) lässt sich ohne das Öffnen eines entsprechend präparierten Office-Dokuments ausnutzen. Demnach reicht es für eine Infektion aus, bei einer bereits heruntergeladenen Datei eine Hover-Vorschau auszulösen. Die Sicherheitsfirma Huntress geht in einer Analyse davon aus, dass die Follina genannte Zero Day (CVE-2022-30190) in den nächsten Tagen im größeren Stil ausgenutzt wird.

Stellenmarkt
  1. (Senior) IT Professional Client Systems (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim an der Ruhr
  2. Sachbearbeitung DV-Organisation, Digitalisierung
    Kreis Minden-Lübbecke, Minden
Detailsuche

Microsoft hat die Sicherheitslücke bestätigt, die eine Remote Code Execution (RCE) ermöglicht, "wenn MSDT unter Verwendung des URL-Protokolls von einer Anwendung wie Word aufgerufen wird." Ein Angreifer, der die Schwachstelle ausnutze, könne beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen, teilte Microsoft mit. Ein Aktivieren von Makros oder gar das Öffnen des Office-Programmes ist nicht notwendig.

"Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem von den Rechten des Benutzers erlaubten Kontext erstellen", erklärt Microsoft. Allerdings ist das sogenannte Chaining von Sicherheitslücken nicht unüblich. Dabei wird beispielsweise eine Sicherheitslücke wie Follina zur Infektion des Rechners genutzt, während eine weitere zur Ausweitung der Rechte verwendet wird.

Im März vergangenen Jahres berichtete beispielsweise Googles Project Zero von einer Hackergruppe, die solche Exploit-Ketten unter iOS, Windows und Android verwendet hatte. Bei der Hackergruppe soll es sich um einen westlichen Geheimdienst handeln.

Microsoft gibt Tipps, die vor Follina schützen sollen

Golem Karrierewelt
  1. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    25./26.07.2022, Virtuell
  2. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
Weitere IT-Trainings

Um das Ausnutzen der Sicherheitslücke zu verhindern, rät Microsoft das MSDT-URL-Protokoll zu deaktivieren. Dazu müsse die Eingabeaufforderung als Administrator gestartet und mit zwei Befehlen der Registrierungsschlüssel gesichert und anschließend gelöscht werden. Zudem verweist Microsoft auf die Cloud-Protection seiner Antivirus-Software Defender.

Der Twitter-Nutzer Gitworm hat bereits ein Video eines Proof of Concept (PoC) veröffentlicht, der beim Hovern einer RTF-Datei den Taschenrechner von Windows über ein aktuelles, aber verwundbares Office365 startet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


wgvdl 01. Jun 2022 / Themenstart

Den Eintrag HKEY_CLASSES_ROOT\ms-msdt gibt es bei mir nicht in der Registry. Windows7 und...

Trollversteher 01. Jun 2022 / Themenstart

Eben. Zumal es hier auch nicht um eine Lücke im Windows-Kernel geht, sondern in einer...

gan 31. Mai 2022 / Themenstart

Troubleshooter-Links in Anwendungen funktionieren nicht mehr. Man muss für die Nutzung...

Kommentieren



Aktuell auf der Startseite von Golem.de
Unix-Nachfolger
Plan 9 sollte bessere Audio-Kompression bekommen als MP3

Die Entwicklung der Audio-Kompression und die schwierige MP3-Patentsituation hätte ohne das Nein eines Anwalts wohl anders ausgesehen.

Unix-Nachfolger: Plan 9 sollte bessere Audio-Kompression bekommen als MP3
Artikel
  1. Vision, Disruption, Transformation: Populäre Denkfehler in der Digitalisierung
    Vision, Disruption, Transformation
    Populäre Denkfehler in der Digitalisierung

    Der Essay Träge Transformation hinterfragt Schlagwörter des IT-Managements und räumt mit gängigen Vorstellungen auf. Die Lektüre ist aufschlussreich und sogar lustig.
    Eine Rezension von Ulrich Hottelet

  2. Hermit: Google analysiert italienischen Staatstrojaner
    Hermit
    Google analysiert italienischen Staatstrojaner

    Der Staatstrojaner einer italienische Firma funktioniert sogar in Zusammenarbeit mit dem ISP. Dafür braucht es nicht zwingend ausgefallene Exploits.

  3. Pro Electric SuperVan: Ford zeigt Elektro-Van mit 1.490 kW
    Pro Electric SuperVan
    Ford zeigt Elektro-Van mit 1.490 kW

    Ford hat auf dem Goodwood Festival of Speed den Ford Pro Electric SuperVan gezeigt, der die Tradition der Transit-Showcars des Unternehmens fortsetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Prime Video: Filme leihen 0,99€ • Alternate: Gehäuse & Co. von Fractal Design • Nur noch heute: 16.000 Artikel günstiger bei MediaMarkt • MindStar (Samsung 970 EVO Plus 250GB 39€) • Hori RWA 87,39€ • Honor X7 128GB 150,42€ • Phanteks Eclipse P200A + Glacier One 280 157,89€ [Werbung]
    •  /