Support: +49 (0)209 38642-22        Supportfall melden

Zero-Day Schwachstelle Follina

Zero-Day Schwachstellen bergen grundsätzlich ein hohes Risiko, denn hinter der Bezeichnung verbirgt sich die Tatsache, dass eine Schwachstelle bereits veröffentlicht wurde, bevor der Entwickler der betroffenen Software die Möglichkeit hatte, einen Patch zur Schließung der Lücke zu veröffentlichen.

Im Fall von Follina handelt es sich bei der kompromittierten Software um Anwendungen aus dem Microsoft Office Paket. Bereits seit April soll die Schwachstelle Microsoft bekannt sein, allerdings wurde ihr Schadenspotential von den Verantwortlichen deutlich unterschätzt und als nicht sicherheitsrelevantes Problem eingestuft. Diese Einschätzung wurde dann im Mai revidiert und Microsoft veröffentlichte erste Details zur Schwachstelle CVE-2022-30190. Tatsächlich besteht aus mehreren Gründen ein besonders hohes Risiko. Zum einen sind alle Versionen von Windows 7, Windows 10 und Windows 11 betroffen. Zum anderen kann die Schwachstelle in fast allen modernen Versionen von MS Office ausgenutzt werden. Betroffen sind:

  • Office 2013, 2016, 2019, 2021
  • Office Pro Plus
  • Office 365

Zu guter Letzt handelt es sich bei Follina um einen sogenannten Zero-Click-Exploit. Wegen der ständigen Bedrohung durch Ransomware, Phishing, Trojaner und anderer Malware werden immer mehr Nutzer dahingehend sensibilisiert, keine verdächtigen Links anzuklicken oder Dateianhänge von E-Mails zu öffnen. Bei einem Zero-Click-Exploit geht das aber nicht weit genug. Denn wie der Name schon sagt, ist ein Klick nicht mehr notwendig, um Schadcode auszuführen. Im Fall von Follina reicht es schon aus, ein präpariertes Office-Dokument herunterzuladen und mit dem Mauszeiger über die Datei zu fahren und damit die Vorschau-Funktion auszulösen.

Denn Follina hat es nicht wie so oft in der Vergangenheit auf Makros oder Office-Funktionen abgesehen, sondern auf das Microsoft Diagnostics Tool (MSDT), im Speziellen, wenn MSDT unter Verwendung des URL-Protokolls von einer Anwendung wie Word aufgerufen wird. Im Normalfall dient MSDT dazu, Informationen aus dem System auszulesen und an einen Support-Mitarbeiter von Microsoft zu senden, der diese nutzt, um einen Fehler zu identifizieren und eine Lösung anbieten zu können. Einem Angreifer ermöglicht die Schwachstelle allerdings, beliebigen Code mit den Rechten der entsprechenden Anwendung auszuführen und Dateien nachzuladen. Einmal durch Follina infiziert, kann dann ein typischer Malware-Angriff eingeleitet werden, bei dem zum Beispiel Daten verändert, gelöscht oder entwendet werden, weitere Schadsoftware installiert oder sogar neue Benutzer angelegt werden.

Mittlerweile soll insbesondere der Windows Defender, aber auch andere Antivirus-Programme einen derartigen Angriff erkennen und blockieren, ein Patch für die Sicherheitslücke wurde aber noch nicht veröffentlicht. Das BSI hat Follina in einer Cyber-Sicherheitswarnung vom 31.05.2022 mit der Bedrohungslage 3/Orange eingestuft, was die zweithöchste von vier Stufen darstellt. Unter dem Punkt "Maßnahmen" übernimmt das BSI den Rat von Microsoft, den MSDT-URL-Protokollhandler zu deaktivieren, was wie folgt durchgeführt werden kann:

1. Eingabeaufforderung als Administrator ausführen.
2. Optional: Durch Eingabe von reg export HKEY_CLASSES_ROOT\ms-msdt <filename> kann der aktuelle Registry-Key für ein späteres Wiederherstellen der Ursprungskonfiguration in <filename> gespeichert werden.
3. Abschließend durch Eingabe von reg delete HKEY_CLASSES_ROOT\ms-msdt /f den entsprechenden Registry-Key löschen.