Bereits vor Wochen sorgte der neue Zero-Day-Bug Follina bei der Remote-Code-Ausführung in Microsoft Office für Wirbel. Genauer gesagt handelt es sich um eine Sicherheitslücke Schwachstelle in Microsofts Support Diagnostic Tool (MSDT). Jetzt hat das BSI für Follina die Warnstufe Orange (max. Rot) ausgerufen. Der CVSS-Wert (Common Vulnerability Scoring System) wird nun mit “High” 7,8 von 10 eingestuft.
Bereits am 30.05.2022 veröffentlichte Microsoft Details und Mitigationsmaßnahmen zu einer Schwachstelle in Microsofts Support Diagnostic Tool (MSDT) über das Microsoft Security Response Center. Der Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-Nummer CVE-2022-30190 zugewiesen. Nach dem Common Vulnerability Scoring System (CVSS) wird der Schweregrad der Sicherheitslücken auf 7.8 eingestuft (CVSSv3.1).
Warnstufe steigt von “Gelb” auf “Orange”
Die Schwachstelle kann mithilfe einer präparierten Word-Datei ausgenutzt werden, wodurch Angreifende womöglich in die Lage versetzt werden, auf Basis der im Dokumentenverarbeitungsprogramm enthaltenen Remote Template-Funktion den Download einer HTML-Datei aus dem Internet anzustoßen. Dies kann
zur weiteren Ausführung von PowerShell-Code missbraucht werden, wodurch Angreifende Programme installieren, Daten anzeigen, ändern oder löschen könnten. Erkenntnisse der Sicherheitsforschenden von nao_sec, die bei VirusTotal eine hochgeladene und entsprechend präparierte Word-Datei entdeckt hatten, unterstreichen nun, dass eine aktive Ausnutzung der Schwachstelle stattfindet.
Was lässt sich tun?
Microsoft hat bereits eine offizielle Problemumgehung veröffentlicht und wird hoffentlich zügig einen dauerhaften Patch vorlegen. So praktisch die proprietären ms-xxxx-URLs von Microsoft auch sein mögen, die Tatsache, dass sie darauf ausgelegt sind, Prozesse automatisch zu starten, wenn bestimmte Dateitypen geöffnet oder auch nur in der Vorschau angezeigt werden, ist eindeutig ein Sicherheitsrisiko.
Zudem besteht eine in der Community allgemein anerkannte Problembehandlung darin, einfach die Beziehung zwischen ms-msdt: URLs und dem Dienstprogramm MSDT.EXE zu unterbrechen. Eine weitere Beschreibung der Sicherheitslücke findet sich in einer ersten News von Sophos.
Mehr bei BSI.bund.de
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.