{"id":265938,"date":"2022-06-02T00:34:32","date_gmt":"2022-06-01T22:34:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265938"},"modified":"2024-08-05T12:55:22","modified_gmt":"2024-08-05T10:55:22","slug":"0patch-micro-patch-gegen-follina-schwachstelle-cve-2022-30190-in-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/02\/0patch-micro-patch-gegen-follina-schwachstelle-cve-2022-30190-in-windows\/","title":{"rendered":"0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows"},"content":{"rendered":"

\"Windows\"[English<\/a>]Das Sicherheitsteam von ACROS Security rund um den Gr\u00fcnder Mitja Kolsek hat einen Micro-Patch zum Schlie\u00dfen der 0-click Microsoft Diagnostic Tool Remote Code-Schwachstelle (CVE-2022-30190, Follina) ver\u00f6ffentlicht. Der Micro-Patch steht f\u00fcr alle Kunden mit Windows und der Free-Lizenz des 0patch-Agenten bereit. Hier einige Informationen dazu.<\/p>\n

<\/p>\n

Windows Follina-Schwachstelle (CVE-2022-30190)<\/h2>\n

\"\"Seit dem Wochenende ist eine neue Schwachstelle CVE-2022-30190<\/a> unter dem Namen Follina im Microsoft Support Diagnostic Tool (MSDT) bekannt, die sich in Windows in Kombination mit Microsoft Office und der Powershell ausnutzen l\u00e4sst. Die Schwachstelle erm\u00f6glicht eine Remotecodeausf\u00fchrung, wenn MSDT \u00fcber das URL-Protokoll von einer aufrufenden Anwendung wie Word aufgerufen wird. Ein Angreifer, der diese Sicherheitsl\u00fccke erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausf\u00fchren. Der Angreifer kann dann ggf. Programme installieren, Daten anzeigen, \u00e4ndern oder l\u00f6schen oder neue Konten in dem durch die Rechte des Benutzers erlaubten Kontext erstellen.<\/p>\n

Ich hatte Details in den Blog-Beitr\u00e4gen Follina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen & Angriffe<\/a> und Follina: Angriff \u00fcber Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)<\/a> offen gelegt. Von Microsoft gibt es inzwischen ein Support-Dokument Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability<\/a>, in dem auch Hinweise zum Abmildern der Schwachstelle gegeben werden.<\/p>\n

Der Windows Defender erkennt Angriffsversuche und blockiert diese. Trotzdem besteht die Gefahr, dass die bisher ungepatchte Schwachstelle ausgenutzt wird – erst Angriffsversuche werden seit Wochen beobachtet.<\/p>\n

Neuer Micro-Patch f\u00fcr die Schwachstelle<\/h2>\n

Nach Analyse der Schwachstellen hat das Team von ACROS Security, welches seit Jahren die 0Patch-L\u00f6sung bereitstellt, Micro-Patches f\u00fcr nicht mehr offiziell unterst\u00fctzte Windows-Versionen entwickelt und stellt diese nun f\u00fcr Kunden bereit. Mitja Kolsek hat \u00fcber Twitter<\/a> auf diese L\u00f6sung aufmerksam gemacht und mir einen private Nachricht diesbez\u00fcglich geschickt.<\/p>\n

\"0patch<\/a><\/p>\n

Das Ganze wird in diesem Blog-Beitrag<\/a>\u00a0 vom 1. Juni 2022 von 0patch detaillierter beschrieben. Mitja Kolsek hat mit seinem Team einen Weg gefunden, um Angriffe \u00fcber msdt.exe<\/em>, unabh\u00e4ngig davon, wie msdt.exe <\/em>gestartet wurde, per Micro-Patch zu blockieren.<\/p>\n

(Video<\/a> Quelle: YouTube)<\/p>\n

Das Video zeigt die Arbeitsweise des Micro-Patches. Da es sich um eine 0-day-Schwachstelle handelt, f\u00fcr die kein offizielles Hersteller-Patch verf\u00fcgbar ist, stellen die Entwickler von ACROS Securiy den Micro-Patch kostenlos \u00fcber den Free 0Patch-Agenten zur Verf\u00fcgung, bis ein solcher Fix verf\u00fcgbar wird. Die Micro-Patches wurden geschrieben f\u00fcr:<\/p>\n

    \n
  1. Windows 11 v21H2<\/li>\n
  2. Windows 10 v21H2<\/li>\n
  3. Windows 10 v21H1<\/li>\n
  4. Windows 10 v20H2<\/li>\n
  5. Windows 10 v2004<\/li>\n
  6. Windows 10 v1909<\/li>\n
  7. Windows 10 v1903<\/li>\n
  8. Windows 10 v1809<\/li>\n
  9. Windows 10 v1803<\/li>\n
  10. Windows 7<\/li>\n
  11. Windows Server 2008 R2<\/li>\n
  12. Windows Server 2012<\/li>\n
  13. Windows Server 2012 R2<\/li>\n
  14. Windows Server 2016<\/li>\n
  15. Windows Server 2019<\/li>\n
  16. Windows Server 2022<\/li>\n<\/ol>\n

    Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher l\u00e4dt, finden Sie in den Blog-Posts (wie z.B. hier<\/a>).<\/p>\n

    \u00c4hnliche Artikel
    \n<\/strong>    Windows 7: Februar 2020-Sicherheitsupdates erzwingen<\/a> \u2013 Teil 1
    \n    Windows 7: Mit der 0patch-L\u00f6sung absichern<\/a> \u2013 Teil 2
    \n    Windows 7\/Server 2008\/R2: 0patch liefert Sicherheitspatches nach Supportende<\/a>
    \n    Windows 7\/Server 2008\/R2 Life Extension-Projekt & 0patch Probemonat<\/a>
    \n    0patch: Fix f\u00fcr Internet Explorer 0-day-Schwachstelle CVE-2020-0674<\/a>
    \n    0patch-Fix f\u00fcr Windows Installer-Schwachstelle CVE-2020-0683<\/a>
    \n    0patch-Fix f\u00fcr Windows GDI+-Schwachstelle CVE-2020-0881<\/a>
    \n    0-Day-Schwachstelle in Windows Adobe Type Library<\/a>
    \n    0patch fixt 0-day Adobe Type Library bug in Windows 7<\/a>
    \n    0patch fixt CVE-2020-0687 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1048 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1015 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1281 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1337 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1530 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2<\/a>
    \n    0patch fixt CVE-2020-1013 in Windows 7\/Server 2008 R2<\/a>
    \n    0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec<\/a>
    \n    0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle<\/a>
    \n    0patch fixt 0-day im Internet Explorer<\/a>
    \n    0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2<\/a>
    \n    0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)<\/a>
    \n    0Patch bietet Support f\u00fcr Windows 10 Version 1809 nach EOL<\/a>
    \n    Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959<\/a>
    \n    0Patch Micropatches f\u00fcr PrintNightmare-Schwachstelle (CVE-2021-34527)<\/a>
    \n    0patch-Fix f\u00fcr neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)<\/a>
    \n    0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)<\/a>
    \n    2. 0patch-Fix f\u00fcr Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)<\/a>
    \n    Windows 10: 0patch-Fix f\u00fcr MSHTML-Schwachstelle (CVE-2021-40444)<\/a>
    \n    0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service<\/a>
    \n    0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service<\/a>
    \n    0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows<\/a>
    \n    0patch fixt ms-officecmd RCE-Schwachstelle in Windows<\/a>
    \n    0patch fixt RemotePotato0-Schwachstelle in Windows<\/a>
    \n    0patch fixt erneut Schwachstelle CVE-2021-34484 in Windows 10\/Server 2019<\/a>
    \n    0Patch fixt Schwachstellen (CVE-2022-26809 und CVE-2022-22019) in Windows<\/a><\/p>\n

    Follina: Angriff \u00fcber Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)<\/a>
    \n    Follina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen & Angriffe<\/a>
    \n    0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows<\/a>
    \n    Follina (CVE-2022-30190): Angriffswelle ausgeblieben, aber Kampagnen auf EU\/US und andere Ziele<\/a>
    \n    Follina-Schwachstelle (CVE-2022-30190): Neue Erkenntnisse, neue Risiken (9.6.2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

    [English]Das Sicherheitsteam von ACROS Security rund um den Gr\u00fcnder Mitja Kolsek hat einen Micro-Patch zum Schlie\u00dfen der 0-click Microsoft Diagnostic Tool Remote Code-Schwachstelle (CVE-2022-30190, Follina) ver\u00f6ffentlicht. Der Micro-Patch steht f\u00fcr alle Kunden mit Windows und der Free-Lizenz des 0patch-Agenten bereit. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[2452,4328,3288],"class_list":["post-265938","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-patch","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265938","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265938"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265938\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265938"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265938"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265938"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}