K-iS Security Advisory 2022-010 – ZeroDay-Lücke in Microsoft Office: “Follina”
Seit Anfang dieser Woche ist eine neue Schwachstelle bei Microsoft Office bekannt geworden. Laut Microsoft steckt die eigentliche Schwachstelle in der Anwendung „Microsoft Support Diagnostic Tool (MSDT)“.
Die Schwachstelle wurde als “kritisch“ eingestuft und wird bereits aktiv ausgenutzt!
CVE-2022-30190 – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability
Anfällige Office-Versionen nutzen MSDT, um eine versteckte Anweisung in Dokumenten zum Download einer Datei auszuführen. Makros müssen hierfür in Office nicht aktiviert sein. Die geschützte Ansicht verhindert normalerweise die Ausführung des Downloads, Anwender können diese Ansicht jedoch sehr leicht umgehen.
Wird das Dokument als RTF anstatt DOC verwendet, genügt schon eine Vorschau im Windows Datei Explorer um die Anweisungen auszuführen.
Diese Schutzvorkehrungen sollten Sie treffen:
Der URL-Handler des MSDT sollte deaktiviert werden!
Starten Sie hierzu die Eingabeaufforderung mit erhöhten Admin-Rechten und exportieren zur möglichen Wiederherstellung den entsprechenden Registry-Key:
- reg export HKEY_CLASSES_ROOT\ms-msdt C:\<Pfad>\export-msdt.reg
- reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Hiermit wird der Registry-Schlüssel komplett entfernt - Starten Sie bitte Ihren PC neu!
Sollte später ein Sicherheitsupdate zur Verfügung stehen, kann die Funktionalität von MSDT durch einfachen Import der Registry-Schlüssel wiederhergestellt werden. Bewahren Sie die exportierte .reg-Datei also bitte gut auf.
- reg import c:\<Pfad>\export-msdt.reg
Weiterführende Links:
https://www.pcwelt.de/news/Zero-Day-Luecke-in-Microsoft-Office-11241395.html
https://www.heise.de/news/Zero-Day-Luecke-in-MS-Office-Microsoft-gibt-Empfehlungen-7126993.html
Gerne unterstützen wir Sie bei der Analyse Ihrer Systeme und der Umsetzung von Maßnahmen. Melden Sie sich dazu bitte bei unserem Support und vereinbaren Sie einen zeitnahen Termin.
Zentraler Support der K-iS Systemhaus Unternehmensgruppe:
support@k-is.com | +49 271 31370-30 (D-Siegen) | +49 6761 9321-55 (D-Simmern) | +41-55-536-1020 (Schweiz)
Support der pointcom GmbH
support@pointcom.de | +49 7681 474098-8
Support der my-Office.ch GmbH
support@my-office.ch | +41 61 303 04-05