{"id":265890,"date":"2022-06-01T03:31:42","date_gmt":"2022-06-01T01:31:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265890"},"modified":"2023-06-09T21:30:08","modified_gmt":"2023-06-09T19:30:08","slug":"follina-schwachstelle-cve-2022-30190-warnungen-erste-angriffe-der-status","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/01\/follina-schwachstelle-cve-2022-30190-warnungen-erste-angriffe-der-status\/","title":{"rendered":"Follina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen & Angriffe"},"content":{"rendered":"

\"Windows\"[English<\/a>]Seit dem Wochenende ist eine neue Schwachstelle CVE-2022-30190 unter dem Namen Follina unter Windows in Kombination mit Microsoft Office bekannt. Inzwischen warnen das US CISA und auch das BSI vor dieser Schwachstelle – w\u00e4hrend Sicherheitsforscher erste Angriffe \u00fcber diese 0-day-Schwachstelle durch chinesische APTs beobachtet haben. Inzwischen ist auch klar, dass diese Angriff auch ohne Microsoft Office funktionieren. Die Schwachstellen CVE-2022-30190 k\u00f6nnte das n\u00e4chste gro\u00dfe Ding in Sachen Sicherheit werden, wenn auch Virenschutzl\u00f6sungen infizierte Dokumente erkennen. Hier ein \u00dcberblick \u00fcber die aktuellen Erkenntnisse.<\/p>\n

<\/p>\n

Die Schwachstelle CVE-2022-30190<\/h2>\n

\"\"Die Schwachstelle CVE-2022-30190 erm\u00f6glicht das Microsoft Support Diagnostics Utility \u00fcber das ms-msdt<\/em>:-Protokoll zu missbrauchen, um b\u00f6sartige Word-Dokumente (oder Excel-Arbeitsbl\u00e4tter) aus dem Web herunterzuladen. Ich hatte diesen Sachverhalt im Blog-Beitrag Follina: Angriff \u00fcber Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)<\/a> erw\u00e4hnt. Nachfolgender Tweet<\/a> zeigt eine \u00dcbersicht, welche Office-Versionen angeblich angreifbar sind und welche nicht – wobei die Aussagen (z.B. zu Office 2021) den Ausf\u00fchrungen von Sicherheitsforscher Kevin Beaumont, die ich in meinem obigen Artikel zitiere, wiedersprechen. Ich gehe davon aus, dass im Zweifel alle Office-Versionen angreifbar sind.<\/p>\n

\"Follina\"<\/a><\/p>\n

Microsoft hat inzwischen ein Support-Dokument Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability<\/a> f\u00fcr CVE-2022-30190 herausgegeben. Dort gibt es auch einige Diskussionen im Hinblick auf die Abschw\u00e4chung der Schwachstelle. Zudem erkennt der Microsoft Defender ab der Build 1.367.719.0 oder neuer \u00fcber seine Signaturdateien solche Angriffe.<\/p>\n

Die Schwachstelle wird ausgenutzt<\/h2>\n

Microsoft hat in einem per Mail verteilten Security Advisory zu CVE-2022-30190<\/a> darauf hingewiesen, dass diese Schwachstelle bereits ausgenutzt werde. Arstechnica weist in diesem Artikel<\/a> darauf hin, dass diese Schwachstelle seit sieben Wochen ausgenutzt wird, wie die Sicherheitsforscher von Shadow Chaser entdeckt haben.<\/p>\n

\"<\/a><\/p>\n

Sicherheitsforscher Kevin Beaumont weist in obigem Tweet<\/a> auf eine Meldung von Proofpoint hin, dass chinesische APTs die Schwachstelle CVE-2022-30190 bereits aktiv ausnutzen. Die Angreifer geben sich als \"Women Empowerments Desk\" der Central Tibetan Administration in Angriffskampagnen Kampagnen aus und verwenden die Domain tibet-gov.web[.]app. \u00dcber eine URLs wird versucht, ein in ein ZIP-Archiv gepacktes Word-Dokument herunterzuladen. Im Dokument wird die Folloinia-Schwachstelle ausgenutzt. Beaumont hat inzwischen seinen Beitrag Follina \u2014 a Microsoft Office code execution vulnerability<\/a> vom 29. Mai 2022 entsprechend erg\u00e4nzt.<\/p>\n

Sicherheitsforscher Will Dormann hat in einer Serie von Tweets<\/a> nochmals die Ausnutzung der Schwachstelle analysiert und schreibt, dass das Muster der vor Monaten entdeckten MSHTML-Schwachstelle CVE-2021-40444 \u00e4hnelt. In nachfolgendem Tweet<\/a> gibt er an, dass sich mit wget per PowerShell ein Redirect auf einen Exploit erzwingen l\u00e4sst – es ist kein Office erforderlich.<\/p>\n

\"wget<\/a><\/p>\n

US-CERT und BSI\/CERT-Bund warnen<\/h2>\n

Das US-CERT, eine amerikanische Sicherheitsbeh\u00f6rde warnt laut nachfolgendem Tweet<\/a> in diesem Dokument<\/a> vor der Schwachstelle und empfehlen Administratoren sich mit dem Microsoft Support-Dokument Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability<\/a> zu CVE-2022-30190 zu befassen.<\/p>\n

\"US-CERT<\/a><\/p>\n

Vom BSI\/CERT-Bund gibt es laut nachfolgendem Tweet<\/a> inzwischen diese Warnung<\/a> von der Schwachstelle Follina\/CVE-2022-30190. Nach dem Common Vulnerability Scoring System (CVSS) wird der Schweregrad der Sicherheitsl\u00fccken auf 7.8 eingestuft (CVSSv3.1).<\/p>\n

<\/a><\/p>\n

Frank Carius weist zudem \u00fcber Twitter<\/a> auf diesen Beitrag<\/a> von nospamproxy.de hin, der erl\u00e4utert, wie man sich \u00fcber den Nospam-Proxy vor Follina sch\u00fctzen kann.<\/p>\n

Erg\u00e4nzung:<\/strong> Ein Video mit einer Demo des PoC findet sich hier<\/a>. Eine Aufstellung der Zeitleiste findet sich in diesem Tweet<\/a> sowie bei Fortinet in diesem Beitrag<\/a>.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Beachtet die folgende Link-Liste, wo weitere Artikel nachgetragen wurden – das Thema entwickelt sich dynamisch.<\/p>\n

Artikelreihe:<\/strong>
\nFollina: Angriff \u00fcber Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)<\/a>
\nFollina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen & Angriffe<\/a>
\n0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows<\/a>
\nFollina (CVE-2022-30190): Angriffswelle ausgeblieben, aber Kampagnen auf EU\/US und andere Ziele<\/a>
\nFollina-Schwachstelle (CVE-2022-30190): Neue Erkenntnisse, neue Risiken (9.6.2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Seit dem Wochenende ist eine neue Schwachstelle CVE-2022-30190 unter dem Namen Follina unter Windows in Kombination mit Microsoft Office bekannt. Inzwischen warnen das US CISA und auch das BSI vor dieser Schwachstelle – w\u00e4hrend Sicherheitsforscher erste Angriffe \u00fcber diese 0-day-Schwachstelle … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,301],"tags":[4322,4328,3288],"class_list":["post-265890","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-windows","tag-office","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265890","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265890"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265890\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265890"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265890"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}