Microsoft: Zero Day soll schon seit sieben Wochen ausgenutzt werden

Die ungepatchte Sicherheitslücke Follina ist Microsoft schon seit sieben Wochen bekannt - und soll bereits genauso lange aktiv ausgenutzt werden.

Artikel veröffentlicht am ,
Nach sieben Wochen erkennt Microsoft eine Sicherheitslücke an ...
Nach sieben Wochen erkennt Microsoft eine Sicherheitslücke an ... (Bild: Uzair Ahmed/Pixabay)

Die Follina genannte Zero Day in Microsoft Office in Kombination mit dem Microsoft Diagnostics Tool (MSDT) soll bereits seit sieben Wochen aktiv ausgenutzt werden. Das berichtet das Onlinemagazin Ars Technica unter Berufung auf die Sicherheitsforscher der Shadow Chaser Group. Demnach wurde die Sicherheitslücke in MSDT bereits im April an Microsoft gemeldet.

Stellenmarkt
  1. Informatiker als Experte (w/m/d) für medizinische Interoperabilität
    Klinikum rechts der Isar der Technischen Universität München, München
  2. Algorithmen-Developer (m/w/d)
    alphaINSIDE GmbH, Stuttgart
Detailsuche

Microsoft Security Response Center habe das Problem jedoch nicht als Sicherheitslücke angesehen, da es davon ausging, dass Payloads nur nach Eingabe eines Passwortes ausgeführt werden könnten. Erst vor wenigen Tagen hatte Microsoft dann auch selbst vor der Sicherheitslücke (CVE-2022-30190) gewarnt.

Als die Sicherheitslücke am 12. April an Microsoft gemeldet wurde, sei sie bereits aktiv ausgenutzt worden, erklären die Sicherheitsforscher. Auch die Sicherheitsfirma Proofpoint hat mit TA413 bereits eine Advanced Persistant Threat (APT) ausgemacht, welche die Zero Day aktiv ausnutzt. Die staatliche Hackergruppe wird China zugeordnet, allerdings ist eine Attribution von Gruppen und Angriffen generell schwierig.

Follina: über eine Office-Datei hovern reicht

Die Zero Day ermöglicht eine Remote Code Execution (RCE), "wenn MSDT unter Verwendung des URL-Protokolls von einer Anwendung wie Word aufgerufen wird", erklärte Microsoft. Ein Angreifer, der die Schwachstelle ausnutze, könne beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen.

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    18.-20.07.2022, Virtuell
Weitere IT-Trainings

Dabei reicht es bereits, wenn über ein Office-Dokument mit der Maus gehovert wird, um die Vorschaufunktion zu triggern und damit die Sicherheitslücke ohne weitere Interaktion mit den Anwendern auszunutzen. Ein Aktivieren von Makros oder gar das Öffnen des Office-Programmes ist nicht notwendig.

Um das Ausnutzen der Sicherheitslücke zu verhindern, rät Microsoft, das MSDT-URL-Protokoll zu deaktivieren. Dazu müsse die Eingabeaufforderung als Administrator gestartet und mit zwei Befehlen der Registrierungsschlüssel gesichert und anschließend gelöscht werden. Zudem verweist Microsoft auf die Cloud-Protection seiner Antivirus-Software Defender. Betroffen seien alle aktuellen Windows-Versionen. Ein Patch steht noch nicht zur Verfügung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Klima-Ticket
Bund plant Nachfolger für Neun-Euro-Ticket

Das Neun-Euro-Ticket könnte als Klimaticket weiterlaufen. Das geht aus einem Vorschlag für ein neues Klimaschutzsofortprogramm hervor.

Klima-Ticket: Bund plant Nachfolger für Neun-Euro-Ticket
Artikel
  1. Vitali Klitschko: Zweifel an Giffeys Deepfake-These
    Vitali Klitschko
    Zweifel an Giffeys Deepfake-These

    Die Berliner Staatskanzlei spricht von einem Deepfake beim Gespräch zwischen Bürgermeisterin Franziska Giffey und dem falschen Klitschko. Nun gibt es eine neue These.

  2. Feuerwehr: E-Auto-Brand zerstört Haus - Photovoltaik erschwert Löschen
    Feuerwehr
    E-Auto-Brand zerstört Haus - Photovoltaik erschwert Löschen

    Feuerwehrleute in Hessen hatten Probleme, einen Elektroauto-Brand, der auf ein Wohngebäude übergriff, zu löschen. Auf dem Dach befand sich Photovoltaik.

  3. Studie VW ID.Aero vorgestellt: Elektrischer Passat soll 620 km weit kommen
    Studie VW ID.Aero vorgestellt
    Elektrischer Passat soll 620 km weit kommen

    Nach der elektrischen Kompaktklasse und SUVs legt VW nun mit einer Limousine nach. Die Studie ID.Aero erinnert sehr stark an ein Verbrennermodell.
    Ein Bericht von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI 32" WQHD 165 Hz günstig wie nie: 399€ • Saturn-Fundgrube: Restposten zu Top-Preisen • MindStar (AMD Ryzen 9 5900X 375€, Gigabyte RX 6900 XT 895€) • Samsung Galaxy Watch 4 Classic 46 mm 205€ [Werbung]
    •  /