Zero-Day-Lücke “Follina” in MS Office

von | 01. Juni 2022 | Security

In Microsoft Office wurde eine neue Zero-Day-Sicherheitslücke mit dem Namen “Follina” aufgedeckt. Sie ermöglicht es Angreifern, bei Betroffenen mithilfe von Office-Dateien Schadcode auszuführen.

Wie funktioniert “Follina”?

Die Sicherheitslücke kann ausgenutzt werden, wenn ein Office-Nutzer eine mit versteckter Malware ausgestattete DOC-Datei öffnet. Diese kann z.B. per Mail kommen. Dieses Dokument verlinkt dann auf eine unscheinbare https-Website, welche heruntergeladen wird. Die https-URL wiederum verweist auf eine HTML-Datei, welche Code in Form von JavaScript beinhaltet.

Dieser verweist nun schlussendlich auf eine URL mit ms-msdt: anstatt von https:. ms-mdt: ist ein windowseigener URL-Typ, der das MSDT-Software-Toolkit startet. Die Befehlszeile, die mit der URL zum MSDT übertragen wird, sorgt anschließend für die Ausführung von nicht vertrauenswürdigem Code.

Dadurch wird dann die MSDT-Fehlerbehebung geöffnet, die dann durch den Code automatisiert Programme sowie auch die Mombarcaro öffnen und darin Schadcode ausführen kann.

Wichtig zu wissen ist auch, dass dieser Angriff aus Microsoft Word ausgelöst wird. Da die URL in der Word-Datei selbst enthalten ist, müssen keine VBA-Office-Makros verwendet werden. Das heißt, auch mit deaktivierten Office-Makros kann der Angriff durchgeführt werden.

Noch gefährlicher wird die Masche, wenn der schädliche Inhalt in eine RTF-Datei statt eine DOC-Datei gepackt wird. Dann reicht bereits das Anzeigen der Datei im Explorer, um den Code auszulösen. Nicht mal ein Klick ist dafür notwendig.

Was können Sie tun?

Von Microsoft wurde bereits eine offizielle Umgehung des Problems veröffentlicht. In Zukunft sollte mit einem entsprechenden Update zu rechnen sein. Man kann alternativ auch die Beziehung zwischen ms-msdt: Urls und dem zugehörigen Programm MSDT.EXE zu unterbrechen. Wie das geht, erfahren Sie in diesem Blogbeitrag.

Die Endpoint-Produkte unseres Partners Sophos erkennen und blockieren bereits bekannte Angriffe und sind auch gegen ähnliche Angriffe wie “Follina” gut gewappnet. Wenn Sie mehr zu Sophos erfahren wollen, kontaktieren Sie uns gern.

Auf Social-Media teilen:

Mehr Beiträge wie diesen?

Abonnieren Sie unseren E-Mail-Newsletter, um interessante und hilfreiche Beiträge zu Themen rund um IT-Technik, Webdesign und Digitalisierung zu erhalten. Außerdem erhalten Sie wichtige Infos zu aktuellen Sicherheitslücken und wie Sie diese schnellstmöglich beheben können.

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors