{"id":266163,"date":"2022-06-07T12:17:24","date_gmt":"2022-06-07T10:17:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=266163"},"modified":"2023-07-28T18:27:19","modified_gmt":"2023-07-28T16:27:19","slug":"follina-cve-2022-30190-groe-angriffswelle-ausgeblieben-aber-warnungen-vor-kampagnen-auf-eu-us-ziele","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/07\/follina-cve-2022-30190-groe-angriffswelle-ausgeblieben-aber-warnungen-vor-kampagnen-auf-eu-us-ziele\/","title":{"rendered":"Follina (CVE-2022-30190): Angriffswelle ausgeblieben, aber Kampagnen auf EU\/US und andere Ziele"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Seit Ende Mai 2022 ist ja eine 0-day-Schwachstelle CVE-2022-30190 (Follina) in Windows bekannt. Gestern ist mir ein Hinweis eines Sicherheitsforschers unter die Augen gekommen, der noch keine aktive Ausnutzung \u00fcber manipulierte Office-Dokumente gefunden hat. Andererseits meldet Proofpoint, dass man gerade eine Phishing-Kampagne mit einem Angriff auf Kunden bei EU- und US-Beh\u00f6rden gestoppt habe. Es werden staatliche Akteure hinter der Aktion vermutet. Auch im S\u00fcd-Pazifik wurde ein Angriff, ausgehend von Servern in Palau, beobachtet. Dabei wurde ein digitales Zertifikat einer Firma zum Signieren missbraucht. Auch die CERT-UA warnt vor Angriffen auf Regierungsziele in der Ukraine. Zeit f\u00fcr eine kurze Bestandaufnahme rund um die Ausnutzung von Follina.<\/p>\n

<\/p>\n

Gro\u00dfer Angriff bisher ausgeblieben?<\/h2>\n

\"\"Eigentlich war zu erwarten, dass die k\u00fcrzlich bekannt gewordene Windows-Schwachstelle CVE-2022-30190 (Follina) \u00fcber Pfingsten in Angriffen massiv missbraucht wird. Aber eine wirkliche Welle hat es nicht gegeben, obwohl ich gemischte Signale im Web gefunden habe.<\/p>\n

Noch keine Ausnutzung?<\/h3>\n

Auf Twitter ist mir nachfolgender Tweet<\/a> von Sicherheitsforscher Kevin Beaumont unter die Augen gekommen. Beaumont schreibt am 6. Juni 2022, dass er noch bisher noch keine Beispiele gesehen habe, dass die \u00fcblichen Gruppen von Cyber-Kriminellen bereits modifizierte \"Office-Doc-Builder\" einsetzen, die die Follina-Schwachstelle ausnutzen.<\/p>\n

\"Follina:<\/a><\/p>\n

\"Office-Doc-Builder\" sind Pakete, mit denen sich Office-Dokumente generieren lassen, die Schwachstellen in Office\/Windows bei Angriffen ausnutzen. Die Office-Dokumente werden mit Phishing-Mails mit verschickt, um einen Angriff auszuf\u00fchren. Laut Beaumont verwenden die einschl\u00e4gigen Ransomware-Gruppen 6 Monate alte Office-Doc-Builder, die\u00a0 nur .lnk-Dateien in ISO-Dateien zum Angriff benutzen. Er schreibt: Wie auch immer, kein Grund zur Panik. Die Leute, die diese Sicherheitsl\u00fccke bisher genutzt haben, scheinen verschwunden zu sein, und ich habe heute keine weitere Nutzung au\u00dferhalb der Kreise von Sicherheitsforschern gesehen. <\/em><\/p>\n

Warnungen vor Ausnutzung in EU\/USA<\/h3>\n

Sicherheitsanbieter Proofpoint meldet aber auf Twitter<\/a>, dass man eine mutma\u00dflich staatlich ausgerichtete Phishing-Kampagne blockiert habe, die versuchte, die Windows-Schwachstelle CVE_2022_30190 (Follina) auszunutzen.<\/p>\n

\"Follina<\/a><\/p>\n

Diese Kampagne gab gegen\u00fcber den potentiellen Opfern vor, dass es sich um eine Gehaltserh\u00f6hung handele (siehe obiger Screenshot). Im Anhang war eine RTF-Datei mit angeblichen Details (242d2fa02535599dae793e731b6db5a2) dabei. \u00dcber die Schwachstelle CVE_2022_30190 wurde dann versucht, die Exploit-Nutzlast von 45.76.53[.]253 herunterzuladen.<\/p>\n

Das heruntergeladene Powershell-Skript war base64-kodiert und verwendete Invoke-Expression, um ein zus\u00e4tzliches PS-Skript (dbd2b7048b3321c87a768ed7581581db) von seller-notification[.]live herunterzuladen. Dieses Skript pr\u00fcft auf Virtualisierung, stiehlt Informationen von lokalen Browsern, Mail-Clients und Dateidiensten, f\u00fchrt einen Rechnerabgleich durch und zippt die Ergebnisse, um diese an 45.77.156[.]179 zu \u00fcbertragen.<\/p>\n

Die Phishing-Kampagne betraf aber weniger als 10 Proofpoint-Kunden (europ\u00e4ische Regierungen und lokale US-Regierungen). Proofpoint vermutet daher, dass es sich bei dieser Kampagne um einen staatlich organisierten Akteur handelt, da die Powershell-Scripte sehr speziell konstruiert wurden und sich die Angriffe stark auf wenige Opfer konzentrierten.<\/p>\n

Aktuell wohl noch begrenzte Gefahr<\/h2>\n

Die Angreifer sind in obigem Fall wohl sehr gezielt vorgegangen, um ihre Exploits dosiert bei hochkar\u00e4tigen Zielen einzusetzen, w\u00e4hrend die Gruppen an Cyberkriminellen wohl noch nicht so weit sind, die Schwachstelle auszunutzen (so interpretiere ich die Aussage von Kevin Beaumont). Aber das k\u00f6nnte sich die Tage schnell \u00e4ndern.<\/p>\n

Warnung des CERT-UA<\/h3>\n

Diese tschechische Sicherheitsseite<\/a> berichtete zum 3. Juni 2022, dass die gerade \u00f6ffentlich gewordene MSDT-Windows-Schwachstelle CVE-2022-30190 (Follina) f\u00fcr Angriffe auf staatliche Einrichtungen in der Ukraine genutzt h\u00e4tten. Das Computer Emergency Response Team der Ukraine (CERT-UA) warnt<\/a> vor einer neuen b\u00f6sartigen Kampagne, die zwei Windows Zero-Day-Schwachstellen ausnutzt, um Netzwerke ukrainischer Regierungsbeh\u00f6rden mit der Cobalt Strike Beacon-Malware zu infizieren.<\/p>\n

Bei der beobachteten Kampagne handelt es sich um Phishing-E-Mails mit dem Betreff \"\u0417\u043c\u0456\u043d\u0438 \u043e\u043f\u043b\u0430\u0442\u0430 \u043f\u0440\u0430\u0446\u0456 \u0437 \u043d\u0430\u0440\u0430\u0445\u0443\u0432\u0430\u043d\u043d\u044f\u043c\u0438\" (\"Gehalts\u00e4nderungen mit Abgrenzungen\") mit einem Anhang in Form eines b\u00f6sartigen Microsoft Word-Dokuments, das einen Link zu einer HTML-Datei enth\u00e4lt. Sobald das Dokument ge\u00f6ffnet wird, wird JavaScript-Code auf dem Rechner ausgef\u00fchrt, der die Ausnutzung der Sicherheitsl\u00fccken CVE-2021-40444 und CVE-2022-30190 ausl\u00f6st und schlie\u00dflich zum Download von Cobalt Strike Beacon auf einen kompromittierten Computer f\u00fchrt.<\/p>\n

Cobalt Strike ist ein kostenpflichtiges Produkt f\u00fcr Penetrationstests, das es Bedrohungsakteuren erm\u00f6glicht, einen Agenten namens \"Beacon\" auf dem Computer des Opfers zu installieren. Zu den Funktionen von \"Beacon\" geh\u00f6ren unter anderem Befehlsausf\u00fchrung, Schl\u00fcsselprotokollierung, Datei\u00fcbertragung, SOCKS-Proxys, Privilegienerweiterung, Mimikatz, Port-Scanning und Lateral Movement.<\/p>\n

Das ist also der gleiche Angriff, den auch Proofpoint in abgewandelter Form – angepasst auf Opfer in der EU und in den USA – blockiert hat. Dort war das Dokument in englischer Sprache und es wurden PowerShell-Skripte verwendet.<\/p>\n

Follina Angriffe im S\u00fcd-Pazifik\/Australien<\/h3>\n

Auch im S\u00fcd-Pazifik\/Australien gab es wohl Angriffe, wie Avast in diesem Blog-Beitrag<\/a> zum 3. Juni 2022 meldet. Bei der \u00dcberwachung wurden Hinweise auf einen Bedrohungsakteur gefunden, der b\u00f6sartige Nutzlasten bei einem australischen VOIP-Telekommunikationsanbieter mit einer Niederlassung im s\u00fcdpazifischen Inselstaat Palau gehostet haben soll.<\/p>\n

Weitere Analysen ergaben, dass den Zielpersonen in Palau b\u00f6sartige Dokumente zugesandt wurden, die, wenn sie ge\u00f6ffnet wurden, diese Schwachstelle ausnutzten, so dass die Computer der Opfer mit der Website des Anbieters in Verbindung traten, die Malware herunterluden und ausf\u00fchrten und anschlie\u00dfend infiziert wurden.<\/p>\n

Bei dieser Bedrohung handelte es sich um eine komplexe mehrstufige Operation unter Verwendung von LOLBAS (Living off the Land Binaries And Scripts), die es dem Angreifer erm\u00f6glichte, den Angriff \u00fcber die Sicherheitsl\u00fccke CVE-2022-30190 im Microsoft Support Diagnostic Tool zu starten. Diese Schwachstelle erm\u00f6glicht es Bedrohungsakteuren, b\u00f6sartigen Code auszuf\u00fchren, ohne dass der Benutzer eine ausf\u00fchrbare Datei auf seinen Computer herunterl\u00e4dt, die von der Endpunkterkennung erkannt werden k\u00f6nnte.<\/p>\n

Mehrere Stufen dieser Malware wurden mit einem legitimen Unternehmenszertifikat signiert, um zus\u00e4tzliche Legitimit\u00e4t zu schaffen und die Wahrscheinlichkeit einer Entdeckung zu minimieren. Die Details sind in oben verlinktem Blog-Beitrag nachlesbar. Diese australische IT-Seite<\/a> meldet zum 6. Juni 2022, dass die Click Studios das digitales Zertifikat, das von der \"Follina\"-Schadsoftware verwendet wurde, widerrufen habe.<\/p>\n

Follina-Schwachstelle (CVE-2022-30190)<\/h2>\n

Seit Ende Mai 2022 ist eine neue 0-day Schwachstelle CVE-2022-30190<\/a> unter dem Namen Follina im Microsoft Support Diagnostic Tool (MSDT) bekannt. Die Schwachstelle erm\u00f6glicht eine Remotecodeausf\u00fchrung, wenn MSDT \u00fcber das URL-Protokoll von einer Anwendung wie Word aufgerufen wird. Ein Angreifer, der diese Sicherheitsl\u00fccke erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausf\u00fchren.<\/p>\n

Einem Sicherheitsforscher mit dem Nick nao_sec ist ein Upload aus Wei\u00dfrussland (Belarus) auf Virustotal aufgefallen, der die in Microsoft Word m\u00f6gliche Aufl\u00f6sung von externen Links missbraucht, um ein HTML-Dokument herunterzuladen. Von dort wird dann das\u00a0ms-msdt<\/em>-Protokoll missbraucht, um \u00fcber ein PowerShell-Script Schadfunktionen auszuf\u00fchren. Das Ganze ist in einem\u00a0Tweet<\/a>\u00a0zum 27. Mai 2022 \u00f6ffentlich geworden.<\/p>\n

Ich hatte Details in den Blog-Beitr\u00e4gen Follina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen & Angriffe<\/a> und Follina: Angriff \u00fcber Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)<\/a> offen gelegt. Von Microsoft gibt es inzwischen ein Support-Dokument Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability<\/a>, in dem auch Hinweise zum Abmildern der Schwachstelle gegeben werden.<\/p>\n

Einsch\u00e4tzung von Sicherheitsforschern<\/h3>\n

Sicherheitsforscher Kevin Beaumont hat dann die Schwachstelle \"Follina\" genannt und das Ganze zwei Tage sp\u00e4ter im Artikel\u00a0Follina \u2014 a Microsoft Office code execution vulnerability<\/a>\u00a0genannt. Beaumont schreibt, dass das hochgeladene Word-Beispiel die Word-Remotevorlagenfunktion verwendet, um eine HTML-Datei von einem entfernten Webserver abzurufen, der wiederum das MSProtocol-URI-Schema ms-msdt verwendet, um Code zu laden und PowerShell auszuf\u00fchren.<\/p>\n

Das sollte nicht m\u00f6glich sein, es handelt sich also um eine Sicherheitsl\u00fccke in Microsoft Word. Denn dieser Angriffsvektor funktioniert auch, wenn Makros in Word deaktiviert sind. Beaumont kommt zum Schluss, dass es sich um eine Zero-Day-Schwachstelle handelt, die die Ausf\u00fchrung von Code in Office-Produkten erm\u00f6glicht \u2013 egal, ob Makros deaktiviert sind oder nicht.<\/p>\n

Der Name Follina f\u00fcr die Schwachstelle leitet sich aus einem Muster 0438 in der Datei ab,\u00a0 was der Vorwahl von Follina in Italien entspricht. Das \u00fcber das Protokoll\u00a0ms-msdt<\/em>\u00a0aufgerufene Tool\u00a0msdt.exe<\/em>\u00a0(Microsoft Support Diagnostics Utility) erm\u00f6glicht dem Microsoft Support bestimmte Probleme zu untersuchen (siehe\u00a0hier<\/a>).<\/p><\/blockquote>\n

Einen offiziellen Patch von Microsoft gibt es noch nicht. Aber ACROS-Security hat einen Micro-Patch f\u00fcr alle Windows-Versionen ver\u00f6ffentlicht, der kostenfrei ist und die Ausnutzung der Schwachstelle unterbindet (siehe 0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows<\/a>). Zudem werden Angriffe \u00fcber diese Schwachstelle inzwischen vom Microsoft Defender und weiteren Virenscannern sowie SIEMS-L\u00f6sungen erkannt und geblockt.<\/p>\n

Erg\u00e4nzung:<\/strong>\u00a0Beachtet die folgende Link-Liste, wo weitere Artikel nachgetragen wurden \u2013 das Thema entwickelt sich dynamisch.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nFollina: Angriff \u00fcber Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)<\/a>
\nFollina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen & Angriffe<\/a>
\n0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows<\/a>
\nFollina (CVE-2022-30190): Angriffswelle ausgeblieben, aber Kampagnen auf EU\/US und andere Ziele<\/a>
\nFollina-Schwachstelle (CVE-2022-30190): Neue Erkenntnisse, neue Risiken (9.6.2022)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Seit Ende Mai 2022 ist ja eine 0-day-Schwachstelle CVE-2022-30190 (Follina) in Windows bekannt. Gestern ist mir ein Hinweis eines Sicherheitsforschers unter die Augen gekommen, der noch keine aktive Ausnutzung \u00fcber manipulierte Office-Dokumente gefunden hat. Andererseits meldet Proofpoint, dass man gerade … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-266163","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/266163","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=266163"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/266163\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=266163"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=266163"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=266163"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}