{"id":265872,"date":"2022-05-31T15:34:08","date_gmt":"2022-05-31T13:34:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265872"},"modified":"2023-06-09T21:30:05","modified_gmt":"2023-06-09T19:30:05","slug":"follina-angriff-ber-word-dokumente-und-ms-msdt-protokoll-cve-2022-30190","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/31\/follina-angriff-ber-word-dokumente-und-ms-msdt-protokoll-cve-2022-30190\/","title":{"rendered":"Follina: Angriff über Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)"},"content":{"rendered":"

\"Windows\"[English<\/a>]Seit dem Wochenende ist ein neuer Angriffsvektor bekannt, der das Microsoft Support Diagnostics Utility \u00fcber das ms-msdt<\/em>:-Protokoll missbraucht, um b\u00f6sartige Word-Dokumente (oder Excel-Arbeitsbl\u00e4tter) aus dem Web herunterzuladen und zu missbrauchen. Microsoft hat inzwischen ein Support-Dokument f\u00fcr CVE-2022-30190 herausgegeben. Ich habe mal den letzten Erkenntnisstand zusammen gefasst.<\/p>\n

<\/p>\n

Kurzer R\u00fcckblick der Historie<\/h2>\n

\"\"Einem Sicherheitsforscher mit dem Nick nao_sec ist ein Upload aus Wei\u00dfrussland (Belarus) auf Virustotal aufgefallen, der die in Microsoft Word m\u00f6gliche Aufl\u00f6sung von externen Links missbraucht, um ein HTML-Dokument herunterzuladen. Von dort wird dann das ms-msdt<\/em>-Protokoll missbraucht, um \u00fcber ein PowerShell-Script Schadfunktionen auszuf\u00fchren. Das Ganze ist in einem Tweet<\/a> zum 27. Mai 2022 \u00f6ffentlich geworden.<\/p>\n

\"Follina<\/a><\/p>\n

Sicherheitsforscher Kevin Beaumont hat dann die Schwachstelle \"Follina\" genannt und das Ganze zwei Tage sp\u00e4ter im Artikel Follina \u2014 a Microsoft Office code execution vulnerability<\/a> genannt. Beaumont schreibt, dass das hochgeladene Word-Beispiel die Word-Remotevorlagenfunktion verwendet, um eine HTML-Datei von einem entfernten Webserver abzurufen, der wiederum das MSProtocol-URI-Schema ms-msdt verwendet, um Code zu laden und PowerShell auszuf\u00fchren.<\/p>\n

Das sollte nicht m\u00f6glich sein, es handelt sich also um eine Sicherheitsl\u00fccke in Microsoft Word. Denn dieser Angriffsvektor funktioniert auch, wenn Makros in Word deaktiviert sind. Beaumont kommt zum Schluss, dass es sich um eine Zero-Day-Schwachstelle handelt, die die Ausf\u00fchrung von Code in Office-Produkten erm\u00f6glicht – egal, ob Makros deaktiviert sind oder nicht.<\/p>\n

Der Name Follina f\u00fcr die Schwachstelle leitet sich aus einem Muster 0438 in der Datei ab,\u00a0 was der Vorwahl von Follina in Italien entspricht. Das \u00fcber das Protokoll ms-msdt<\/em> aufgerufene Tool msdt.exe<\/em> (Microsoft Support Diagnostics Utility) erm\u00f6glicht dem Microsoft Support bestimmte Probleme zu untersuchen (siehe hier<\/a>).<\/p><\/blockquote>\n

Beaumont weist in seinem Beitrag mehrere Vorstufen nach, in denen Follina f\u00fcr Angriffstests versucht wurde. Dann hat Beaumont das Ganze auf verschiedenen Ger\u00e4ten getestet und festgestellt, dass es h\u00e4ufiger funktioniert. Er zeigt ein Beispiel unter Windows 10, wo er nicht nicht als lokaler Administrator angemeldet ist und mit vollst\u00e4ndig deaktivierten Makros, mit Defender, mit Office 365 Semi-Annual Channel, testet. Beim \u00d6ffnen eines (infizierten) Word-Dokuments wird der Windows Rechner Calc gestartet – das Angriffskonzept funktioniert also.<\/p>\n

Wer ist betroffen?<\/h2>\n

Kevin Beaumont schreibt, dass die Schwachstelle sich mit RTF-Dateien in allen Versionen von Office 365 ausnutzen l\u00e4sst. Die Sicherheitsl\u00fccke wurde in Office 2013, 2016, 2019, 2021, Office ProPlus und Office 365 nachgewiesen. Sie gilt auch f\u00fcr Windows selbst, z. B. kann sie von .lnk-Dateien aufgerufen werden. Beaumont gibt weitere Beispiele und Referenzen an, die die Ausnutzung belegen.<\/p>\n

\"Deactivate<\/p>\n

Sicherheitsforscher Will Dormann legt Administratoren in obigem Tweet<\/a> nahe<\/a>, das ms-msdt-Protokoll zu deaktivieren<\/a>. Das l\u00e4sst sich mit folgenden, von Dormann geposteten, Anweisungen realisieren:<\/p>\n

Windows Registry Editor Version 5.00\r\n\r\n[-HKEY_CLASSES_ROOT\\ms-msdt]<\/pre>\n
Wer den obigen Schl\u00fcssel in der Registrierung mit dem Befehl l\u00f6schen will, sollte sich vorher im Registrierungseditor den Inhalt in eine .reg-Datei importieren.<\/p>\n
Beachtet die Hinweise, dass entsprechende Protokoll-Eintr\u00e4ge in der Registry auch unter HKCU und HKLM existieren k\u00f6nnen. Ich habe gerade unter Windows 7 geschaut, da ist der Eintrag nicht zu finden – laut nachfolgendem Kommentar gibt es den Protokolleintrag erst seit Windows 8. In diesem Artikel<\/a> wird eine GPO zum Deaktivieren des Tools beschrieben (siehe auch diesen Tweet<\/a>). Aber auch hier der Hinweis, dass inzwischen erweiterte Angriffsm\u00f6glichkeiten per WGET und PowerShell bekannt sind (siehe diese Tweet<\/a> von Will Dormann).<\/p>\n
Erg\u00e4nzung:<\/strong> Das Thema \"Mitigation\" birgt wohl viele Fallen. Der Ratschlag Microsoft, den ms-msdt-Eintrag in der Registrierung zu l\u00f6schen, wurde hier ja in den Kommentaren als nicht ausreichend verworfen. Der Einsatz einer Gruppenrichtlinie (GPO), siehe obigen Tweet, wird dagegen von Microsoft in der FAQ des Blog-Beitrags Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability<\/a> als ungeeignet angesehen.<\/p><\/blockquote>\n
Hinweise vom ICS\/SANS und von Microsoft<\/h2>\n
\u00dcber meine Kan\u00e4le ist mir folgendes Statement von Dr. Johannes Ullrich vom Internet Storm Center, dass zum SANS Technology Institute geh\u00f6rt, dazu zugegangen:<\/p>\n
B\u00f6sartige Office-Dokumente sind ein beliebtes Mittel zum Einschleusen von Malware. In der Vergangenheit geschah dies in der Regel \u00fcber Makros. Microsoft hat Office-Makros eingeschr\u00e4nkt, um den Missbrauch zu erschweren.<\/p>\n
Die neue Sicherheitsl\u00fccke umgeht diese Beschr\u00e4nkungen. Der b\u00f6sartige Code wird ausgef\u00fchrt, sobald der Benutzer das Dokument \u00f6ffnet, und es wird keine Warnung angezeigt. Der Angriff wurde in Beispielen entdeckt, die bei Virustotal eingereicht wurden, einer von Google betriebenen Website, die b\u00f6sartigen Code sammelt. Microsoft hat das Problem zwar ohne \u00f6ffentliche Ank\u00fcndigung in den allerneuesten Versionen von Office gepatcht, die meisten \u00e4lteren Versionen sind jedoch noch anf\u00e4llig.<\/p>\n
Ein weiteres Dokument, das dieses Problem ausnutzt, wurde am 27. Mai von einem anonymen Benutzer auf Virustotal hochgeladen. Der Upload erfolgte von einer wei\u00dfrussischen IP-Adresse aus. Ein Forscher (\"nao_sec\") entdeckte das Dokument und bemerkte die neue Technik und alarmierte die \u00d6ffentlichkeit \u00fcber Twitter. Das Internet Storm Center von SANS hat die Schwachstelle untersucht und gibt Empfehlungen zur Verteidigung, bis MSFT einen Patch herausgibt.<\/p><\/blockquote>\n
Im ICS SANS-Forum gibt es dazu diesen Eintrag<\/a>, der die Erkenntnisse zur Schwachstelle (CVE-2022-30190) zusammen fasst. Vom ICS SANS gibt es zudem folgende Tipps zur Behebung der Schwachstelle bis der Patch verf\u00fcgbar ist:<\/p>\n
    \n
  1. \u00dcberpr\u00fcfen Sie die Parent-Child-Beziehung: Eine gute Idee ist es, msdt.exe<\/em>-Prozesse zu verfolgen, die von \u00fcbergeordneten Prozessen wie word.exe <\/em>oder excel.exe <\/em>gestartet werden.<\/li>\n<\/ol>\n
      \n
    1. L\u00f6schen Sie das Schema \"ms-msdt\" aus der Registrierung [siehe oben].<\/li>\n<\/ol>\n
        \n
      1. Verhindern Sie, dass Office Child-Prozesse erzeugt, indem Sie eine ASL-Regel erstellen:
        \nSet-MpPreference -AttackSurfaceReductionRules_Ids d4f940ab-401b-4efc-aadc-ad5f3c50688a -AttackSurfaceReductionRules_Actions Enabled<\/em><\/li>\n<\/ol>\n
          \n
        1. Dar\u00fcber hinaus sollten Sie Ihre Benutzer darin schulen, verd\u00e4chtige Dokumente gar nicht erst zu \u00f6ffnen.<\/li>\n<\/ol>\n
          Inzwischen gibt es von Microsoft den auf den 30. Mai 2022 datierten Blog-Beitrag Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability<\/a> der ebenfalls die Entfernung des ms-msdt-Protokoll-Handlers entfernt.<\/p>\n
          Auf Twitter finden sich zudem Meldungen<\/a>, die darauf hinweisen, dass der Windows Defender inzwischen solche Dateien findet. Kevin Beaumont schreibt<\/a> zum 31. Mai 2022, dass der Windows Defender inzwischen eine Signatur f\u00fcr diese Schwachstelle besitzt. Das wird von Microsoft im Blog-Beitrag Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability<\/a>\u00a0 best\u00e4tigt. Der Microsoft Defender erkennt ab der Build 1.367.719.0 oder neuer der Signaturdateien folgende Sch\u00e4dlinge:<\/p>\n
          Trojan:Win32\/Mesdetty.A
          \nTrojaner:Win32\/Mesdetty.B
          \nVerhalten:Win32\/MesdettyLaunch.A
          \nVerhalten:Win32\/MesdettyLaunch.B
          \nVerhalten:Win32\/MesdettyLaunch.C<\/p>\n
          Auch der Microsoft Defender f\u00fcr Endpoint bietet die Erkennung und Warnung vor solchen Angriffen. Im Microsoft 365 Defender-Portal k\u00f6nnen folgende Warnmeldungen auf Bedrohungsaktivit\u00e4ten im Netzwerk hinweisen:<\/p>\n
          Verd\u00e4chtiges Verhalten einer Office-Anwendung
          \nVerd\u00e4chtiges Verhalten von Msdt.exe<\/p>\n
          Weitere Details lassen sich Blog-Beitrag Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability<\/a> von Microsoft nachlesen.<\/p>\n
          Artikelreihe:<\/strong>
          \n          Follina: Angriff \u00fcber Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)<\/a>
          \n          Follina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen & Angriffe<\/a>
          \n          0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows<\/a>
          \n          Follina (CVE-2022-30190): Angriffswelle ausgeblieben, aber Kampagnen auf EU\/US und andere Ziele<\/a>
          \n          Follina-Schwachstelle (CVE-2022-30190): Neue Erkenntnisse, neue Risiken (9.6.2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
          [English]Seit dem Wochenende ist ein neuer Angriffsvektor bekannt, der das Microsoft Support Diagnostics Utility \u00fcber das ms-msdt:-Protokoll missbraucht, um b\u00f6sartige Word-Dokumente (oder Excel-Arbeitsbl\u00e4tter) aus dem Web herunterzuladen und zu missbrauchen. Microsoft hat inzwischen ein Support-Dokument f\u00fcr CVE-2022-30190 herausgegeben. Ich habe … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,301],"tags":[4322,4328,3288],"class_list":["post-265872","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-windows","tag-office","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265872","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265872"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265872\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265872"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265872"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265872"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}