Schwachstelle in Office und Windows macht Unternehmen das Leben schwer

Um die Lücke auszunutzen, bedienen sich Angreifer des Microsoft Diagnostic Tools. Dieses kommt normalerweise zum Einsatz, um Fehlfunktionen zu diagnostizieren. Auch andere Programme – wie in diesem Fall Office – können es aufrufen. Kriminelle können das Tool dazu missbrauchen, zusätzliche Powershell-Skripte aus dem Internet nachzuladen und auszuführen. Damit ist es ein Leichtes, Schadcode auf einem System zu platzieren.  

Entdeckt hat die Sicherheitslücke wahrscheinlich eine staatliche Gruppierung, die gezielt Mails mit Inhalten verschickt hat, um so die Empfänger zum Öffnen der Anhänge zu animieren. Es stellte sich heraus, dass zur Ausführung des Schadcodes nicht einmal ein Öffnen der Dateien notwendig ist – es genügt, im Windows-Explorer den Mauszeiger über das Dokument zu bewegen, bis die Vorschaufunktion anspringt.  
Anfangs massiv unterschätzt, hat auch Microsoft mittlerweile die Kritikalität hochgestuft. Ein Workaround, welcher über einen Eintrag in der Windows-Systemdatenbank (Registry) den so genannten MSDT-Handler deaktiviert, ist vorhanden und sollte bis zur Veröffentlichung eines Patches umgehend eingesetzt werden! 

G DATA-Kunden sind dank der eigenen proaktiven Security-Technologien  geschützt. Allerdings  konnten unsere Sicherheitsfachleute bis zum heutigen Tag keine Angriffsversuche oder kriminellen Aktivitäten auf Kundensysteme feststellen, die mit der Schwachstelle in Zusammenhang stehen. 

Ähnlich wie bereits im Falle der durch die Hafnium-Gruppe ausgenutzten Sicherheitslücke in Microsoft Exchange im Jahr 2021 waren Kriminelle sehr schnell darin, die Sicherheitslücke für sich auszunutzen. Erste Fälle, in denen Ransomware mit Hilfe der sogenannten “Follina-Lücke” verteilt wurde, sind bekannt.  

Gerade, wenn eine Sicherheitslücke sehr gravierende Auswirkungen hat und weltweit viele Systeme betrifft, erhalten sie meist von der Person, die erstmal öffentlich darüber berichtet, einen Namen zusätzlich zu der der relativ kryptisch anmutenden CVE-Nummer. Grundlage ist in der Regel entweder eine bestimmte Eigenheit der Sicherheitslücke oder auch eine – manchmal augenzwinkernde - Neuschöpfung oder ein Akronym. Die Namen “Heartbleed”, “Poodle”, "KrackAttack" oder “Hafnium” sind nur einige der prominenteren Beispiele. Festgelegte Regelungen gibt es nicht. Allerdings ist es in der Sicherheits-Community absolut unüblich, kritische Sicherheitslücken nach real existierenden Orten oder Personen zu benennen. So handelt es sich bei “Follina” um eine Stadt in Norditalien. Die hat eigentlich überhaupt nichts mit der Sicherheitslücke zu tun, wird aber nun dank der mehr als unglücklichen Benamung in einen Kontext gestellt, in den sie nicht hineingehört. Einzige “Verbindung” zu diesem Ort: In einer Dateireferenz zu der Sicherheitslücke taucht die Ziffernfolge “0438” auf – die Telefon-Vorwahl der Stadt Follina. Die Benennung von Sicherheitslücken oder Schadsoftware ist allerdings seit jeher keine exakte Wissenschaft, was oft zu Verwirrung führt. 

Sicherheitslücken, die wie “Follina” Werkzeuge nutzen, die auf den meisten Windows-Systemen vorhanden sind, werden zunehmend zu einem Problem. Immer mehr Akteure bedienen sich dieser Taktik der digitalen Subsistenz. Windows-eigene Programme wie WMI, Powershell und auch MSDT werden so zum Angriffswerkzeug gegen die Systeme, auf denen sie installiert sind. Das macht sie ungleich schwerer zu entdecken, da es sich um legitime Programme beziehungsweise Teile des Betriebssystems handelt. Das unterstreicht die Wichtigkeit von proaktiven Schutztechnologien im Kampf gegen Cyberkriminalität. 

Zum Patch-Tuesday hat Microsoft einen Patch veröffentlicht, der die Sicherheitslücke schließt.
Der Patch ist dringend zur sofortigen Installation empfohlen!

Mehr Informationen finden Sie auf der Webseite von Microsoft.