„Follina“: Hacker nutzen Microsoft MSDT-Schwachstelle aus

Die sogenannte Follina-Sicherheitslücke in Microsoft Office ist nicht unbekannt, wurde aber offensichtlich unterschätzt: Hacker nutzen diese bereits als Eingangstor, um mit manipulierten Dokumenten Ransomware einzuschleusen und Daten auszuspähen. Vorsichtsmaßnahmen sind notwendig, mahnen die IT-Sicherheitsberater der KALWEIT ITS. 

Das Microsoft Windows Support Diagnostic Tool (MSDT) weist die Sicherheitslücke DVE-2022-30190 auf, die zwischenzeitlich unter dem Namen „Follina“ zu einiger Berühmtheit gelangte: Ende Mai veröffentlichte mit Proofpoint ein IT-Sicherheitsunternehmen einen Bericht über den Angriff chinesischer Hacker auf die Internationale Tibetanische Gemeinschaft. Offenbar wurde die Sicherheitslücke dazu genutzt, um manipulierte Dokumente einzuschleusen und damit Powershell-Befehle auszuführen. Und der Aufwand ist nicht einmal sehr groß.

Die Follina-Lücke und ihr Zerstörungspotenzial

Damit ist die IT-Sicherheit gesamter Organisationen gefährdet, wie auch Philipp Kalweit, Geschäftsführer der KALWEIT ITS GmbH, betont: „Die Follina-Lücke eignet sich nicht nur dazu, ganz bequem Schadsoftware zu verbreiten, sondern auch Daten ausspähen zu lassen.“ Das Perfide: Diese Schwachstelle lässt sich relativ einfach ausnutzen. Schon das Herunterladen des präparierten Office-Dokumentes und das Laden der Vorschau im Windows Explorer kann ausreichen, um den Schadcode zu aktivieren.
„Das bedeutet, dass ein Nutzer das Dokument nicht einmal öffnen muss – die Hürde für die Schadsoftware ist also ausgesprochen niedrig.“ So erkläre sich auch die Bezeichnung Zero Click Exploit, die bereits in Fachkreisen kursiert.

Eine weitere Besonderheit ist bemerkenswert: Der Exploit setzt keineswegs an VBA-Makros an, deren Implementierung sich bereits als anfällig für derartige Angriffe erwiesen hat, sondern nutzt das ms-msdt-Protkoll. Dieses ist grundsätzlich in den Microsoft Windows-Versionen 7 und aufwärts, aber eben auch in den Server-Versionen seit Windows Server 2008 aufwärts zur automatischen Fehlerbehebung aktiviert – das Potenzial dieser Cyberangriffe ist also enorm.

Auch die Annahme, dass nur ausgewählte Microsoft Office-Versionen das Follina-Einfallstor aufweisen, erweist sich laut Philipp Kalweit zunehmend als zu optimistisch: „Es gibt immer mehr Hinweise dazu, dass die Microsoft Office Anwendungen keine Rolle spielen, da auch andere Angriffsvektoren identifiziert werden konnten. Bislang scheinen sich die Hackerangriffe jedoch auf Office-Dokumente zu konzentrieren, die derart manipuliert werden, dass sie als primärer Modus zur Verteilung eines Schadcodes fungieren.“

Microsoft korrigiert eigene Follina-Risikoeinschätzung

Bemerkenswert ist außerdem, dass diese Sicherheitslücke nicht erst Ende Mai aufgefallen ist: CrazymanArmy, ein Forscher zur IT-Sicherheit, twitterte zum Beispiel einen Screenshot, der seine auf den 12. April 2022 datierende Fehlermeldung an Microsoft darstellt. Von dort gab es aber keine Reaktion, im Gegenteil, die Meldung wurde verworfen und das Problem als nicht sicherheitsrelevant eingestuft. Zwischenzeitlich bestätigt das In Microsoft Security Response Center (MSRC) mit einer Bewertung von 7,8 von 10 Punkten den Schweregrad der Follina-Schwachstelle und meldet die Arbeit an einem Sicherheitsupdate.

Dieses ist auch dringend notwendig, denn es werden immer mehr Angriffe gemeldet: Proofpoint meldete beispielsweise am 3. Juni 2022 per Twitter von einer gegen europäische, aber auch US-Verwaltungen gerichteten E-Mail-basierten Kampagne. Gemeldete Angriffe im ozeanischen Raum und auf ukrainische Behörden sind bislang unbestätigt. Das BSI hat jedoch reagiert, am 31. Mai 2022 wurde die Warnstufe 3 bzw. Orange ausgerufen. Diese Stufe ist die zweithöchste und bedeutet, dass die IT-Bedrohungslage durchaus geschäftskritisch ist und mit einer massiven Beeinträchtigung des regulären Betriebes gerechnet werden muss.

Gleichlautende Sicherheitsempfehlung vom BSI und von Microsoft

Wann das Sicherheitsupdate von Microsoft erfolgt, steht bislang noch nicht fest. Umso wichtiger sind die übereinstimmenden Empfehlungen von BSI und Microsoft, den MSDT-URL-Protokollhandler mit Hilfe der Registry-Keys vorerst zu deaktivieren. Kalweit rät deswegen: „Wir empfehlen diese Vorkehrungen unbedingt, um das derzeit sperrweit offenstehende und überraschenderweise leicht zu nutzende Einfallstor zumindest bis zur Behebung der Lücke schließen zu können.“

Dazu ist der Eingabeaufforderung unbedingt mit Administratorenrechten zu folgen. So kann ein Backup des Registry-Keys angefertigt werden, um diesen nach dem Sicherheitsupdate oder auch bei Auftreten anderer Probleme wiederherstellen zu können. Der dazu notwendige Befehl lautet [reg export HKEY_CLASSES_ROOT\ms-msdt Mein_Dateiname] – jeweils ohne Klammern. Im Anschluss kann der Registry-Key mit dem Befehl [reg delete HKEY_CLASSES_ROOT\ms-msdt /f] gelöscht werden.