{"id":266968,"date":"2022-06-09T01:05:21","date_gmt":"2022-06-08T23:05:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=266968"},"modified":"2024-07-31T22:59:16","modified_gmt":"2024-07-31T20:59:16","slug":"follina-schwachstelle-cve-2022-30190-neue-erkenntnisse-neue-risiken","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/09\/follina-schwachstelle-cve-2022-30190-neue-erkenntnisse-neue-risiken\/","title":{"rendered":"Follina-Schwachstelle (CVE-2022-30190): Neue Erkenntnisse, neue Risiken (9.6.2022)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/06\/09\/windows-vulnerability-follina-cve-2022-30190-new-findings-new-risks-june-9-2022\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Die seit Ende Mai 2022 bekannt gewordene Schwachstelle CVE-2022-30190 (Follina) in Windows entwickelt sich langsam zum Problemb\u00e4r. Die von Microsoft und hier im Blog beschriebenen Gegenma\u00dfnahmen erscheinen nicht ausreichend. <strong>Erg\u00e4nzung:<\/strong> Ich habe den aktuellen Diskussionsstand nachgetragen. Die Schwachstelle wird inzwischen zudem von der QakBot-Malware bei Phishing-Angriffen ausgenutzt. Weiterhin sind mir noch Informationen von Cato zur Schwachstelle zugegangen. Hier ein aktualisierter \u00dcberblick zum Sachstand.<\/p>\n<p><!--more--><\/p>\n<h2>R\u00fcckblick auf CVE-2022-30190<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/b9eb5da3be9f47ddad8ee2c33c43346c\" alt=\"\" width=\"1\" height=\"1\" \/>Bei der seit Ende Mai 2022 \u00f6ffentlich gewordenen Schwachstelle CVE-2022-30190 (aka Follina) kann das Microsoft Support Diagnostics Utility (<em>msdt.exe<\/em>)\u00fcber das <em>ms-msdt<\/em>:-Protokoll missbraucht werden, um b\u00f6sartige Word-Dokumente (oder Excel-Arbeitsbl\u00e4tter) aus dem Web herunterzuladen. Der Angreifer kann die Sicherheitsl\u00fccke ausnutzen, um Remote-Code mit den Rechten der aufrufenden Anwendung ausf\u00fchren.<\/p>\n<p>Ich hatte diesen Sachverhalt im Blog in den Beitr\u00e4gen <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/31\/follina-angriff-ber-word-dokumente-und-ms-msdt-protokoll-cve-2022-30190\/\">Follina: Angriff \u00fcber Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)<\/a> und <a href=\"https:\/\/borncity.com\/blog\/2022\/06\/01\/follina-schwachstelle-cve-2022-30190-warnungen-erste-angriffe-der-status\/\">Follina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen &amp; Angriffe<\/a> aufgegriffen.<\/p>\n<h3>Welche Versionen sind betroffen<\/h3>\n<p>Betroffen sind laut Microsoft Windows Server 2019 sowie Windows 10 Version 1809\u00a0 und sp\u00e4ter, wobei alle Office-Versionen f\u00fcr solche Angriffe missbraucht werden k\u00f6nnen. Und es hilft auch nicht, wenn die Makroausf\u00fchrung deaktiviert ist. Es gibt sogar die M\u00f6glichkeit, \u00fcber den PowerShell wget-Befehl den Angriff auszul\u00f6sen, so dass man nicht auf Office angewiesen ist.<\/p>\n<h3>Diverse Angriffsm\u00f6glichkeiten<\/h3>\n<p>Inzwischen sind Angriffe \u00fcber diese Schwachstelle bekannt, die bereits bis zu sechs Wochen lang stattfinden (siehe <a href=\"https:\/\/borncity.com\/blog\/2022\/06\/01\/follina-schwachstelle-cve-2022-30190-warnungen-erste-angriffe-der-status\/\">Follina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen &amp; Angriffe<\/a>). Cato Networks hat mich auf deren Blog-Beitrag <a href=\"https:\/\/web.archive.org\/web\/20220601135007\/https:\/\/www.catonetworks.com\/blog\/cato-patches-zero-day-flaw-in-microsoft-office\/\" target=\"_blank\" rel=\"noopener\">Cato Protects Against Microsoft Office Follina Exploits<\/a> hingewiesen. Dort werden die folgenden drei Angriffsm\u00f6glichkeiten erw\u00e4hnt:<\/p>\n<ul>\n<li>Benutzer k\u00f6nnen eine Datei oder Anwendung herunterladen, die die Nutzlast enth\u00e4lt und das Microsoft Support Diagnostics Utility (<em>msdt.exe<\/em>) lokal aufruft.<\/li>\n<li>Benutzer k\u00f6nnen eine Datei oder Anwendung herunterladen, die die Nutzlast enth\u00e4lt und den MSDT-Aufruf aus dem Internet (von den Websites des Angreifers) erh\u00e4lt.<\/li>\n<li>Der Browser des Benutzers empf\u00e4ngt die Nutzlast in der Antwort auf eine Anweisung von einer b\u00f6sartigen Website und f\u00fchrt den MSDT aus.<\/li>\n<\/ul>\n<p>Von Microsoft gibt es bis zum Stand heute keinen Patch zum Schlie\u00dfen dieser Schwachstelle.<\/p>\n<h3>Micro-Patch von ACROS Security<\/h3>\n<p>Lediglich die Entwickler von ACROS Security haben einen Micro-Patch zum Schlie\u00dfen dieser Schwachstelle in allen von Microsoft noch unterst\u00fctzten Windows-Systemen ver\u00f6ffentlicht. Der Micro-Patch steht bis zum Zeitpunkt, an dem Microsoft Sicherheitsupdates ver\u00f6ffentlicht, f\u00fcr alle Benutzer kostenlos bereit. Ich habe die Details im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/06\/02\/0patch-micro-patch-gegen-follina-schwachstelle-cve-2022-30190-in-windows\/\">0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows<\/a> beschrieben.<\/p>\n<h2>Was sch\u00fctzt gegen Follina?<\/h2>\n<p>An dieser Stelle stellt sich die brennende Frage, wie man sich vor Angriffen \u00fcber die Schwachstelle sch\u00fctzen kann.<\/p>\n<h3>Virenscanner erkennen das<\/h3>\n<p>Der Microsoft Defender besitzt inzwischen eine Signatur, um solche Angriffe \u00fcber die MSDT-Schwachstelle zu finden und zu eliminieren (siehe auch den Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/31\/follina-angriff-ber-word-dokumente-und-ms-msdt-protokoll-cve-2022-30190\/\">Follina: Angriff \u00fcber Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)<\/a>). Zudem werden Angriffe \u00fcber diese Schwachstelle inzwischen von weiteren Virenscannern sowie SIEMS-L\u00f6sungen erkannt und geblockt.<\/p>\n<h3>Cato IPS wehrt Follina ab<\/h3>\n<p>Cato Networks hat binnen Stunden L\u00f6sungen zur Erkennung (Tactics, Techniques, and Procedures, TTP) und Abwehr entwickelt. Alle drei oben genannten Ans\u00e4tze werden bereits durch die ATP-Funktionen (Advanced Threat Prevention) von Cato blockiert. Catos Anti-Malware pr\u00fcft und blockiert das Herunterladen von Dateien oder Anwendungen mit der erforderlichen Nutzlast zur Ausf\u00fchrung von Follina. Cato IPS (Intrusion Prevention System) erkennt und verhindert jeden Aufruf \u00fcber das Netzwerk oder das Internet.<\/p>\n<p>(Quelle: <a href=\"https:\/\/youtu.be\/buPS3qGmLQM\" target=\"_blank\" rel=\"noopener\">YouTube<\/a>)<\/p>\n<p>In obigem Video demonstrieren Sicherheitsexperten von Cato-Network den Angriff \u00fcber das Internet und zeigen auch, wie dieser Angriff durch die eigenen IPS-L\u00f6sungen blockiert werden.<\/p>\n<h2>Microsofts L\u00f6sungen und GPOs reichen nicht<\/h2>\n<p>An dieser Stelle wird es leider (mit dem Diskussionsstand 9. Juni 2022) unsch\u00f6n. Microsoft hat Ende Mai 2022 ein Support-Dokument <a href=\"https:\/\/web.archive.org\/web\/20230130212546\/https:\/\/msrc-blog.microsoft.com\/2022\/05\/30\/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability\/\" target=\"_blank\" rel=\"noopener\">Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability<\/a> ver\u00f6ffentlicht, in dem auch Hinweise zum Abmildern der Schwachstelle gegeben werden. Das Dokument wurde zum 6. und 7. Juni im FAQ-Teil aktualisiert und schlie\u00dft bestimmte GPOs als Abhilfe aus.<\/p>\n<h3>Protokoll-Handler l\u00f6schen<\/h3>\n<p>Im Support-Dokument wird zwar empfohlen, den <em>ms-msdt<\/em>-Protokoll-Handler durch l\u00f6schen des Registrierungseintrags<\/p>\n<p>HKEY_CLASSES_ROOT\\ms-msdt<\/p>\n<p>zu entfernen. Das soll die Schwachstelle entsch\u00e4rfen. Allerdings ist nicht sichergestellt, dass der <em>ms-msdt<\/em>-Protokoll-Handler ggf. nicht an anderen Stellen in der Registrierung noch vorhanden ist. Ich weise an dieser Stelle nochmals auf die beiden Kommentare <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/31\/follina-angriff-ber-word-dokumente-und-ms-msdt-protokoll-cve-2022-30190\/#comment-126689\" target=\"_blank\" rel=\"noopener\">hier<\/a> und <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/31\/follina-angriff-ber-word-dokumente-und-ms-msdt-protokoll-cve-2022-30190\/#comment-126694\" target=\"_blank\" rel=\"noopener\">hier<\/a> in meinem Blog-Beitrag hin, die diesen Sachverhalt aufgreifen.<\/p>\n<h3>Microsoft verwirft GPOs<\/h3>\n<p>In den Kommentaren (z.B. <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/31\/follina-angriff-ber-word-dokumente-und-ms-msdt-protokoll-cve-2022-30190\/#comment-126747\" target=\"_blank\" rel=\"noopener\">hier<\/a>) wird dann empfohlen, doch Gruppenrichtlinien (GPOs) zum Deaktivieren des Microsoft Support Diagnostics Utility (<em>msdt.exe<\/em>) zu verwenden. Leider ist das ein Placebo, wie Microsoft im Support-Dokument <a href=\"https:\/\/web.archive.org\/web\/20230130212546\/https:\/\/msrc-blog.microsoft.com\/2022\/05\/30\/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability\/\" target=\"_blank\" rel=\"noopener\">Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability<\/a> inzwischen explizit in seiner FAQ als Erg\u00e4nzung ausf\u00fchrt.<\/p>\n<blockquote><p><strong>Q: <\/strong>Is configuring the GPO setting <strong>Computer Configuration\\Administrative Templates\\System\\Troubleshooting and Diagnostics\\Microsoft Support Diagnostic Tool\\\"Microsoft Support Diagnostic Tool: Turn on MSDT interactive communication with support provider\" <\/strong>to<strong> \"Disabled\" <\/strong>another workaround?<\/p>\n<p><strong>A:<\/strong> No, this GPO does not provide protection against this vulnerability. \"Interactive communication with support provider\" is a special mode MSDT runs in when launched with no parameters which has no impact on MSDT support for URL protocol.<\/p>\n<p><strong>Q:<\/strong> Is configuring the GPO setting <strong>Computer Configuration \u2013 Administrative Templates \u2013 System \u2013 Troubleshooting and Diagnostics \u2013 Microsoft Support Diagnostic Tool\\\"Troubleshooting: Allow users to access recommended troubleshooting for known problems\"<\/strong> to \"<strong>Disabled<\/strong>\" another workaround?<\/p>\n<p><strong>A:<\/strong> No, enabling or disabling this group policy has no effect on the vulnerable part of Troubleshooter functionality, so it is not a viable workaround.<\/p><\/blockquote>\n<p>Wo Microsoft nicht drauf eingeht, ist die von Benjamin Delphy <a href=\"https:\/\/twitter.com\/0x446172696F\/status\/1534136757796610053\" target=\"_blank\" rel=\"noopener\">empfohlene Methode<\/a>, die Richtlinie <em>Problembehandlung: Zugriff und Ausf\u00fchrung von Problembehandlungs-Assistenten durch Benutzer zulassen<\/em> unter:<\/p>\n<p>Computerkonfiguration\\Richtlinien\\Administrative Vorlagen\\System\\Problembehandlung und Diagnose\\Skriptdiagnose<\/p>\n<p>auf deaktiviert zu stellen. Das sollte den Aufruf des MSDT unterbinden. Die Richtlinie wirkt sich auf HKLM im Zweig:<\/p>\n<p>SOFTWARE\\Policies\\Microsoft\\Windows\\ScriptedDiagnostics<\/p>\n<p>aus und setzt den DWORD-Wert <em>EnableDiagnostics<\/em> auf Disabled (0). Ob das ausreicht, kann ich nicht final beurteilen &#8211; beachtet die nachfolgenden Diskussionen.<\/p>\n<h3>Was MSDT blockiert<\/h3>\n<p>Microsoft schreibt aber, dass das Blockieren des MSDT \u00fcber Funktionen wie Windows Defender Application Control (WDAC) die Ausnutzung der Schwachstelle verhindert. Diese Funktion steht aber nur unter Windows 10 Enterprise zur Verf\u00fcgung. Auch ein Blockieren per Software-Restriction-Policy ist laut <a href=\"https:\/\/borncity.com\/blog\/2022\/05\/31\/follina-angriff-ber-word-dokumente-und-ms-msdt-protokoll-cve-2022-30190\/#comment-126697\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> m\u00f6glich.<\/p>\n<h3>Noch ein Vorschlag<\/h3>\n<p>Stefan Kanthak hat mir noch folgenden Hinweis geschickt, den ich hier mal f\u00fcr Administratoren einstelle.<\/p>\n<blockquote><p>nachdem ja einige Deiner Leser gemerkt haben, dass das MSRC wieder einmal boese geschlampt hat, und Andere (mitdenkend) vorschlagen, den Protokoll-Handler nicht zu Loeschen, sondern dessen Kommandozeile zum Aufruf von MSDT.exe zu \u00e4ndern und stattdessen ein Programm aufzurufen, dass<\/p>\n<p>1) den Benutzer informiert und<br \/>\n2) in's Ereignisprotokoll schreibt<\/p>\n<p>[hier meine Erg\u00e4nzung]: Genau das macht SENTINEL.EXE (<a href=\"https:\/\/skanthak.homepage.t-online.de\/download\/SENTINEL.EXE\" target=\"_blank\" rel=\"noopener\">Download hier<\/a>), den ich nicht umsonst \"Vulnerability &amp; Exploit Detector\" nenne.<\/p>\n<p>Kopiere die 32-bittige Version in's Windows-Verzeichnis und passe die Kommandozeile an. Danach \u00f6ffnest Du<br \/>\n<a class=\"moz-txt-link-rfc2396E\" href=\"https:\/\/skanthak.homepage.t-online.de\/follina.html\" target=\"_blank\" rel=\"noopener\">&lt;https:\/\/skanthak.homepage.t-online.de\/follina.html&gt;<\/a> und befolgst die Hinweise &#8230;<\/p><\/blockquote>\n<p>Vielleicht hilft es weiter.<\/p>\n<h2>Qakbot-Malware-Familie nutzt Follina<\/h2>\n<p>Vor Tagen hatte ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/06\/07\/follina-cve-2022-30190-groe-angriffswelle-ausgeblieben-aber-warnungen-vor-kampagnen-auf-eu-us-ziele\/\">Follina (CVE-2022-30190): Angriffswelle ausgeblieben, aber Kampagnen auf EU\/US und andere Ziele<\/a> noch als Status-Abgleich die Erkenntnis festgehalten, dass bisher die gro\u00dfe Angriffswelle ausgeblieben sei. Nur staatliche Akteure scheinen die Schwachstelle gezielt f\u00fcr Angriffe auf ausgesuchte Opfer einzusetzen.<\/p>\n<p><a href=\"https:\/\/twitter.com\/executemalware\/status\/1534213925750841346\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"Qakbot uses Follina\" src=\"https:\/\/i.imgur.com\/JawUL3Q.png\" alt=\"Qakbot uses Follina\" \/><\/a><\/p>\n<p>Das \u00e4ndert sich aber gerade, wie obiger <a href=\"https:\/\/twitter.com\/executemalware\/status\/1534213925750841346\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> nahelegt. Ein Sicherheitsforscher ist auf ein Malware-Sample gesto\u00dfen, welches den Angriffsvektor verwendet. Das Sample stammt aus der Qakbot-Malware-Familie, deren Entwickler haben also die Schwachstelle inzwischen adaptiert. Auch dieser <a href=\"https:\/\/twitter.com\/threatinsight\/status\/1534227444915482625\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> von Proofpoint weist in diese Richtung. Die Kollegen von Bleeping Computer haben einige Hinweise dazu in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/qbot-malware-now-uses-windows-msdt-zero-day-in-phishing-attacks\/\" target=\"_blank\" rel=\"noopener\">diesem Blog-Beitrag<\/a> zusammen getragen.<\/p>\n<h2>Wurde auf die URL zugegriffen?<\/h2>\n<p>Und zum Abschluss noch ein Fundsplitter, der mir unter die Augen gekommen ist. Der nachfolgende <a href=\"https:\/\/twitter.com\/SergeyKochergan\/status\/1532654704416759809\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> l\u00f6st die Frage, wie man ggf. feststellen kann, ob jemand unter Word ggf. auf eine URL zugegriffen hat.<\/p>\n<p><a href=\"https:\/\/twitter.com\/SergeyKochergan\/status\/1532654704416759809\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"MS Word: Accessed a URL from MS Word\" src=\"https:\/\/i.imgur.com\/5xDgSEV.png\" alt=\"MS Word: Accessed a URL from MS Word\" \/><\/a><\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/05\/31\/follina-angriff-ber-word-dokumente-und-ms-msdt-protokoll-cve-2022-30190\/\">Follina: Angriff \u00fcber Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/06\/01\/follina-schwachstelle-cve-2022-30190-warnungen-erste-angriffe-der-status\/\">Follina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen &amp; Angriffe<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/06\/02\/0patch-micro-patch-gegen-follina-schwachstelle-cve-2022-30190-in-windows\/\">0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/06\/07\/follina-cve-2022-30190-groe-angriffswelle-ausgeblieben-aber-warnungen-vor-kampagnen-auf-eu-us-ziele\/\">Follina (CVE-2022-30190): Angriffswelle ausgeblieben, aber Kampagnen auf EU\/US und andere Ziele<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die seit Ende Mai 2022 bekannt gewordene Schwachstelle CVE-2022-30190 (Follina) in Windows entwickelt sich langsam zum Problemb\u00e4r. Die von Microsoft und hier im Blog beschriebenen Gegenma\u00dfnahmen erscheinen nicht ausreichend. Erg\u00e4nzung: Ich habe den aktuellen Diskussionsstand nachgetragen. Die Schwachstelle wird inzwischen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/06\/09\/follina-schwachstelle-cve-2022-30190-neue-erkenntnisse-neue-risiken\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-266968","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/266968","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=266968"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/266968\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=266968"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=266968"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=266968"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}