Schwachstelle in Office und Windows macht Unternehmen das Leben schwer

01.06.2022
G DATA Blog

Eine von Microsoft als kritisch eingestufte und bisher ungepatchte Sicherheitslücke in Office und allen aktuellen Windows-Versionen wird derzeit aktiv ausgenutzt. Sie erlaubt es, beliebigen Programmcode auf Systemen auszuführen. Ein Workaround ist vorhanden.

Eine Ende Mai 2022 erstmals erwähnte und auf den Namen „Follina“ getaufte Sicherheitslücke macht sich einen Teil der Dateivorschau zunutze. Das Bundesamt für Sicherheit in der Informationstechnik hat in einer Warnung die IT-Bedrohungslage als geschäftskritisch eingestuft und Warnstufe 3 (orange) ausgerufen.  Ein entsprechend präpariertes Office Dokument, das per Mail den Weg in die Posteingänge von Nutzer*innen findet, muss nicht einmal geöffnet werden, damit Angreifer die Sicherheitslücke ausnutzen können. Anders als in den bisher bekannten Angriffen spielen Makros keine Rolle, da sie nicht zum Einsatz kommen. Selbst eine globale Deaktivierung von Office-Makros schafft hier keine Abhilfe. 

Eingang per Troubleshooting

Um die Lücke auszunutzen, bedienen sich Angreifer des Microsoft Diagnostic Tools. Dieses kommt normalerweise zum Einsatz, um Fehlfunktionen zu diagnostizieren. Auch andere Programme – wie in diesem Fall Office – können es aufrufen. Kriminelle können das Tool dazu missbrauchen, zusätzliche Powershell-Skripte aus dem Internet nachzuladen und auszuführen. Damit ist es ein Leichtes, Schadcode auf einem System zu platzieren.  

Ursprung und Wirkung

Entdeckt hat die Sicherheitslücke wahrscheinlich eine staatliche Gruppierung, die gezielt Mails mit Inhalten verschickt hat, um so die Empfänger zum Öffnen der Anhänge zu animieren. Es stellte sich heraus, dass zur Ausführung des Schadcodes nicht einmal ein Öffnen der Dateien notwendig ist – es genügt, im Windows-Explorer den Mauszeiger über das Dokument zu bewegen, bis die Vorschaufunktion anspringt.  
Anfangs massiv unterschätzt, hat auch Microsoft mittlerweile die Kritikalität hochgestuft. Ein Workaround, welcher über einen Eintrag in der Windows-Systemdatenbank (Registry) den so genannten MSDT-Handler deaktiviert, ist vorhanden und sollte bis zur Veröffentlichung eines Patches umgehend eingesetzt werden! 

G DATA-Kunden sind dank der eigenen proaktiven Security-Technologien  geschützt. Allerdings  konnten unsere Sicherheitsfachleute bis zum heutigen Tag keine Angriffsversuche oder kriminellen Aktivitäten auf Kundensysteme feststellen, die mit der Schwachstelle in Zusammenhang stehen. 

Kriminelle sind bereits auf den Zug aufgesprungen

Ähnlich wie bereits im Falle der durch die Hafnium-Gruppe ausgenutzten Sicherheitslücke in Microsoft Exchange im Jahr 2021 waren Kriminelle sehr schnell darin, die Sicherheitslücke für sich auszunutzen. Erste Fälle, in denen Ransomware mit Hilfe der sogenannten “Follina-Lücke” verteilt wurde, sind bekannt.  

Warum ausgerechnet "Follina"?

Gerade, wenn eine Sicherheitslücke sehr gravierende Auswirkungen hat und weltweit viele Systeme betrifft, erhalten sie meist von der Person, die erstmal öffentlich darüber berichtet, einen Namen zusätzlich zu der der relativ kryptisch anmutenden CVE-Nummer. Grundlage ist in der Regel entweder eine bestimmte Eigenheit der Sicherheitslücke oder auch eine – manchmal augenzwinkernde - Neuschöpfung oder ein Akronym. Die Namen “Heartbleed”, “Poodle”, "KrackAttack" oder “Hafnium” sind nur einige der prominenteren Beispiele. Festgelegte Regelungen gibt es nicht. Allerdings ist es in der Sicherheits-Community absolut unüblich, kritische Sicherheitslücken nach real existierenden Orten oder Personen zu benennen. So handelt es sich bei “Follina” um eine Stadt in Norditalien. Die hat eigentlich überhaupt nichts mit der Sicherheitslücke zu tun, wird aber nun dank der mehr als unglücklichen Benamung in einen Kontext gestellt, in den sie nicht hineingehört. Einzige “Verbindung” zu diesem Ort: In einer Dateireferenz zu der Sicherheitslücke taucht die Ziffernfolge “0438” auf – die Telefon-Vorwahl der Stadt Follina. Die Benennung von Sicherheitslücken oder Schadsoftware ist allerdings seit jeher keine exakte Wissenschaft, was oft zu Verwirrung führt

Ausblick

Sicherheitslücken, die wie “Follina” Werkzeuge nutzen, die auf den meisten Windows-Systemen vorhanden sind, werden zunehmend zu einem Problem. Immer mehr Akteure bedienen sich dieser Taktik der digitalen Subsistenz. Windows-eigene Programme wie WMI, Powershell und auch MSDT werden so zum Angriffswerkzeug gegen die Systeme, auf denen sie installiert sind. Das macht sie ungleich schwerer zu entdecken, da es sich um legitime Programme beziehungsweise Teile des Betriebssystems handelt. Das unterstreicht die Wichtigkeit von proaktiven Schutztechnologien im Kampf gegen Cyberkriminalität. 

Update: Ein Patch ist verfügbar

Zum Patch-Tuesday hat Microsoft einen Patch veröffentlicht, der die Sicherheitslücke schließt.
Der Patch ist dringend zur sofortigen Installation empfohlen!

Mehr Informationen finden Sie auf der Webseite von Microsoft.

Tim Berghoff
Security Evangelist