Seit Anfang der Woche ist eine Schwachstelle mit dem Beinamen „Follina“ bekannt, mit deren Hilfe sich Microsoft Office missbrauchen lässt, um Malware einzuschmuggeln. Ein Forscher hat eine entsprechend präparierte Word-Datei bei VirusTotal entdeckt, die offenbar aus Belarus (Weissrussland) hochgeladen wurde. Inzwischen hat Microsoft die Sicherheitslücke bestätigt und gibt Empfehlungen zum Schutz vor Angriffen. Laut Microsoft steckt die eigentliche Schwachstelle ( CVE-2022-30190 ) in der Software „Microsoft Support Diagnostic Tool (MSDT)“, also in Windows. Anfällige Office-Versionen nutzen dieses Tool, um letztlich eine in dem präparierten Dokument steckende Anweisung zum Download einer Datei auszuführen. Das MSDT fungiert hier also genannter URL-Handler. Makros müssen in Office nicht aktiviert sein. Je nach Office-Version verhindert zwar die standardmäßig aktive „geschützte Ansicht“ die Ausführung der problematischen Anweisung, doch Anwender können diese Ansicht leicht deaktivieren. Wandelt man die DOC-Datei in ein RTF-Dokument um, wird Office gar nicht mehr benötigt. Dann genügt die Vorschau im Windows Explorer, die keine geschützte Ansicht kennt. Großflächige Angriffe, bei denen die Schwachstelle ausgenutzt würde, sind bislang noch nicht beobachtet worden. Doch es gibt bereits vereinzelte Attacken und eine Ausweitung solcher Angriffe ist wohl nur eine Frage der Zeit. Ein Sicherheits-Update, das die Lücke stopfen könnte, hat Microsoft bislang noch nicht parat. Doch Microsoft gibt einige Hinweise für vorbeugende Maßnahmen („Workarounds“), die sich vor allem an IT-Verantwortliche in Unternehmen richten. ▶Die neuesten Sicherheits-Updates
Diese Schutzvorkehrungen sollen helfen
Die naheliegende Idee ist, den URL-Handler des MSDT zu deaktivieren. Der Nachteil hierbei: Problemlösungen können dann nicht mehr als Links geöffnet werden. Um die Vorsichtsmaßnahme dennoch durchzuführen, öffnen Sie eine Textkonsole (Eingabeaufforderung) mit Admin-Rechten, um zunächst ein Backup des entsprechenden Registry-Keys in eine Datei zu sichern:
reg export HKEY_CLASSES_ROOTms-msdt dateiname Statt „dateiname“ setzen Sie etwa „msdt-url.reg“ ein. Dann löschen Sie den soeben gesicherten Schlüssel:
reg delete HKEY_CLASSES_ROOTms-msdt /f Um später, wenn ein Sicherheits-Update verfügbar und installiert ist, die Funktionalität wiederherzustellen, importieren Sie die als Backup angelegte REG-Datei wieder in die Windows Registry:
reg import msdt-url.reg Der bei Windows serienmäßige Defender (Microsoft Defender Antivirus, früher: Windows Defender) soll mit neuen Definitionen ab Build 1.367.719.0 schädlichen Code erkennen, der die Follina-Schwachstelle auszunutzen versucht. Die dabei gemeldeten Malware-Namen sind „Trojan:Win32/Mesdetty.A“, „Trojan:Win32/Mesdetty.B“ und „Behavior:Win32/MesdettyLaunch.A!blk“. Wann Microsoft ein Sicherheits-Update bereitstellen wird, um die Schwachstelle zu beheben, ist bislang noch nicht bekannt.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.