2662999

Zero-Day-Lücke in Microsoft Office

01.06.2022 | 08:25 Uhr | Frank Ziemann

Mit präparierten Word-Dokumenten können Angreifer beliebigen Schadcode einschleusen und ausführen. Der eigentliche Fehler liegt jedoch nicht in Microsoft Office, sondern in einer Windows-Komponente.

Seit Anfang der Woche ist eine Schwachstelle mit dem Beinamen „Follina“ bekannt, mit deren Hilfe sich Microsoft Office missbrauchen lässt, um Malware einzuschmuggeln. Ein Forscher hat eine entsprechend präparierte Word-Datei bei VirusTotal entdeckt, die offenbar aus Belarus (Weissrussland) hochgeladen wurde. Inzwischen hat Microsoft die Sicherheitslücke bestätigt und gibt Empfehlungen zum Schutz vor Angriffen.

Laut Microsoft steckt die eigentliche Schwachstelle ( CVE-2022-30190 ) in der Software „Microsoft Support Diagnostic Tool (MSDT)“, also in Windows. Anfällige Office-Versionen nutzen dieses Tool, um letztlich eine in dem präparierten Dokument steckende Anweisung zum Download einer Datei auszuführen. Das MSDT fungiert hier also genannter URL-Handler. Makros müssen in Office nicht aktiviert sein. Je nach Office-Version verhindert zwar die standardmäßig aktive „geschützte Ansicht“ die Ausführung der problematischen Anweisung, doch Anwender können diese Ansicht leicht deaktivieren. Wandelt man die DOC-Datei in ein RTF-Dokument um, wird Office gar nicht mehr benötigt. Dann genügt die Vorschau im Windows Explorer, die keine geschützte Ansicht kennt.

Großflächige Angriffe, bei denen die Schwachstelle ausgenutzt würde, sind bislang noch nicht beobachtet worden. Doch es gibt bereits vereinzelte Attacken und eine Ausweitung solcher Angriffe ist wohl nur eine Frage der Zeit. Ein Sicherheits-Update, das die Lücke stopfen könnte, hat Microsoft bislang noch nicht parat. Doch Microsoft gibt einige Hinweise für vorbeugende Maßnahmen („Workarounds“), die sich vor allem an IT-Verantwortliche in Unternehmen richten.

▶Die neuesten Sicherheits-Updates

Diese Schutzvorkehrungen sollen helfen


Die naheliegende Idee ist, den URL-Handler des MSDT zu deaktivieren. Der Nachteil hierbei: Problemlösungen können dann nicht mehr als Links geöffnet werden. Um die Vorsichtsmaßnahme dennoch durchzuführen, öffnen Sie eine Textkonsole (Eingabeaufforderung) mit Admin-Rechten, um zunächst ein Backup des entsprechenden Registry-Keys in eine Datei zu sichern:

 reg export HKEY_CLASSES_ROOT\ms-msdt dateiname 


Statt „dateiname“ setzen Sie etwa „msdt-url.reg“ ein. Dann löschen Sie den soeben gesicherten Schlüssel:

 reg delete HKEY_CLASSES_ROOT\ms-msdt /f 


Um später, wenn ein Sicherheits-Update verfügbar und installiert ist, die Funktionalität wiederherzustellen, importieren Sie die als Backup angelegte REG-Datei wieder in die Windows Registry:

 reg import msdt-url.reg 


Der bei Windows serienmäßige Defender (Microsoft Defender Antivirus, früher: Windows Defender) soll mit neuen Definitionen ab Build 1.367.719.0 schädlichen Code erkennen, der die Follina-Schwachstelle auszunutzen versucht. Die dabei gemeldeten Malware-Namen sind „Trojan:Win32/Mesdetty.A“, „Trojan:Win32/Mesdetty.B“ und „Behavior:Win32/MesdettyLaunch.A!blk“. Wann Microsoft ein Sicherheits-Update bereitstellen wird, um die Schwachstelle zu beheben, ist bislang noch nicht bekannt.


PC-WELT Marktplatz

2662999