Wie sich erst im Nachhinein herausstellte, wird die Follina genannte Sicherheitslücke bereits seit mehreren Wochen aktiv ausgenutzt.
Die Schwachstelle wurde schon im April bei Microsoft gemeldet, aber noch nicht als konkretes Risiko erkannt. Erst jetzt wurde die Gefahr erkannt und vor Follina gewarnt, doch einige Hacker sollen bereits Vorteile aus der Sicherheitslücke gezogen haben.
Zur Zeit gibt es noch KEINEN offiziellen Patch seitens Microsoft. Das Team von ACROS Security hat in einem Blogbeitrag einen inoffiziellen Micropatch vorgestellt, der das Problem beheben soll.
Hier die ursprüngliche Meldung vom 01. Juni:
Microsoft bestätigt die Existenz einer bisher nicht gepatchten Sicherheitslücke, bekannt unter dem Namen “Follina”. Diese Schwachstelle befindet sich in Microsoft Office und ermöglicht im schlimmsten Fall eine Remote Code Execution durch Angreifer.
Es soll bereits ausreichen, mit dem Mauzeiger über eine heruntergeladene Office-Datei zu fahren, um den PC zu infizieren. Laut einer Analyse der Sicherheitsfirma Huntress wird die Sicherheitslücke mit der Bezeichnung CVE-2022-30190 bald ausgenutzt werden.
Angreifer können dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem von den Rechten des Benutzers erlaubten Kontext erstellen, wie Microsoft erklärte.
Microsoft gibt Tipps, die vor Follina schützen sollen. User sollen das MSDT-URL-Protokoll deaktivieren, indem sie die Eingabeaufforderung als Administrator starten und mit zwei Befehlen den Registrierungsschlüssel sichern und anschließend löschen.
- reg export HKEY_CLASSES_ROOT\ms-msdt filename
- reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Außerdem verweist Microsoft auf die Cloud-Protection seiner Antivirus-Software Defender. Es bleibt zu hoffen, dass spätestens beim nächsten Patch Day die Sicherheitslücke geschlossen werden kann.