Jetzt Vorkehrungen treffen!
Ein Sicherheitsforscher hat in MS Office eine Zero-Day-Sicherheitslücke entdeckt, die es Hackern aktuell besonders einfach macht, Systeme über eine DOC-Datei mit Malware zu infizieren. Wir fassen zusammen, was Office-Nutzer beachten müssen und wie du dich vor „Follina“ schützen kannst.
Microsoft hat die Bedrohung unter CVE-2022-30190 mittlerweile bestätigt.
Wie funktioniert die aktuelle Lücke?
- Anwender öffnen eine mit versteckter Malware versehene DOC-Datei, die sie z.B. per Email erhalten haben.
- Das Dokument verweist auf eine normal aussehende https-URL, die heruntergeladen wird.
- Diese https-URL verweist auf eine HTML-Datei, die einen JavaScript-Code enthält.
- Das JavaScript wiederum verweist auf eine URL mit der ungewöhnlichen Kennung ms-msdt: anstelle von https:. Unter Windows ist ms-msdt: ein proprietärer URL-Typ, der das MSDT-Software-Toolkit (MSDT – Microsoft Support Diagnostic Tool) startet.
- Die zum MSDT via URL übermittelte Befehlszeile führt dazu, dass nicht vertrauenswürdiger Code ausgeführt wird.
Was ist zu tun?
Microsoft hat bereits eine offizielle Problemumgehung veröffentlicht und wird hoffentlich zügig einen dauerhaften Patch vorlegen. So praktisch die proprietären ms-xxxx-URLs von Microsoft auch sein mögen, die Tatsache, dass sie darauf ausgelegt sind, Prozesse automatisch zu starten, wenn bestimmte Dateitypen geöffnet oder auch nur in der Vorschau angezeigt werden, ist eindeutig ein Sicherheitsrisiko.
Wie kann ich mich schützen?
Endpoint-Protection-Produkte (z.B. von Sophos, NetworkBox oder ESET) erkennen und blockieren bekannte Angriffe, die über diesen Exploit als Troj/DocDl-AGDX durchgeführt werden. Dieser Erkennungsname kann verwendet werden, um Protokolle sowohl nach DOC-Dateien zu durchsuchen, die den ursprünglichen Download auslösen, als auch nach HTML-Dateien der „zweiten Stufe“, die folgen. Email- und Web-Filter-Produkte fangen Angriffsdateien dieser Art wie CXmail/OleDl-AG ab.
Bitte sensibilisiere deine Kunden! Wie so oft gilt: Erst Denken, dann klicken!
Nutze entsprechende Services, wie Managed Firewall oder Managed Endpoint Protection.
Wichtiges per Mail
Damit du auch bei kritischen Ereignissen immer auf dem laufenden bleibst, empfehlen wir dir, unseren Blog zu abonnieren. Alle wichtigen Informationen landen dann direkt in deinem Postfach.