Microsoft: Zero Day in Office ermöglicht Remote Code Execution

Eine bis dato nicht gepatchte Sicherheitslücke in Microsoft Office in Kombination mit dem Microsoft Diagnostics Tool (MSDT) lässt sich ohne das Öffnen eines entsprechend präparierten Office-Dokuments ausnutzen. Demnach reicht es für eine Infektion aus, bei einer bereits heruntergeladenen Datei eine Hover-Vorschau auszulösen. Die Sicherheitsfirma Huntress geht in einer Analyse davon aus, dass die Follina genannte Zero Day (CVE-2022-30190) in den nächsten Tagen im größeren Stil ausgenutzt wird.

Stellenmarkt

1. (Senior) IT Professional Client Systems (m/w/d)
   ALDI International Services SE & Co. oHG, Mülheim an der Ruhr
2. Sachbearbeitung DV-Organisation, Digitalisierung
   Kreis Minden-Lübbecke, Minden

Detailsuche

Microsoft hat die Sicherheitslücke bestätigt, die eine Remote Code Execution (RCE) ermöglicht, "wenn MSDT unter Verwendung des URL-Protokolls von einer Anwendung wie Word aufgerufen wird." Ein Angreifer, der die Schwachstelle ausnutze, könne beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen, teilte Microsoft mit. Ein Aktivieren von Makros oder gar das Öffnen des Office-Programmes ist nicht notwendig.

"Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem von den Rechten des Benutzers erlaubten Kontext erstellen", erklärt Microsoft. Allerdings ist das sogenannte Chaining von Sicherheitslücken nicht unüblich. Dabei wird beispielsweise eine Sicherheitslücke wie Follina zur Infektion des Rechners genutzt, während eine weitere zur Ausweitung der Rechte verwendet wird.

Im März vergangenen Jahres berichtete beispielsweise Googles Project Zero von einer Hackergruppe, die solche Exploit-Ketten unter iOS, Windows und Android verwendet hatte. Bei der Hackergruppe soll es sich um einen westlichen Geheimdienst handeln.

Microsoft gibt Tipps, die vor Follina schützen sollen

Golem Karrierewelt

1. Go für Einsteiger: virtueller Zwei-Tages-Workshop
   25./26.07.2022, Virtuell
2. First Response auf Security Incidents: Ein-Tages-Workshop
   14.11.2022, Virtuell

Weitere IT-Trainings

Um das Ausnutzen der Sicherheitslücke zu verhindern, rät Microsoft das MSDT-URL-Protokoll zu deaktivieren. Dazu müsse die Eingabeaufforderung als Administrator gestartet und mit zwei Befehlen der Registrierungsschlüssel gesichert und anschließend gelöscht werden. Zudem verweist Microsoft auf die Cloud-Protection seiner Antivirus-Software Defender.

Der Twitter-Nutzer Gitworm hat bereits ein Video eines Proof of Concept (PoC) veröffentlicht, der beim Hovern einer RTF-Datei den Taschenrechner von Windows über ein aktuelles, aber verwundbares Office365 startet.