Microsoft hat gerade sein kumulatives Update für Windows vom Juni 2022 veröffentlicht, das einen Fix für die gefürchtete Follina-Schwachstelle enthält.
„Microsoft empfiehlt Kunden dringend, Updates zu installieren, um vollständig vor der Schwachstelle geschützt zu sein. Kunden, deren Systeme für den Empfang automatischer Updates konfiguriert sind, müssen keine zusätzlichen Schritte unternehmen“, heißt es in der Stellungnahme von Microsoft.
Der vom Cybersicherheitsexperten Kevin Beaumont entdeckte Fehler mit dem Spitznamen „Follina“ nutzt ein Windows-Dienstprogramm namens msdt.exe aus, das darauf ausgelegt ist, verschiedene Fehlerbehebungspakete unter Windows auszuführen. Der Forscher stellte fest, dass das Opfer, wenn es eine waffenfähige Word-Datei herunterlädt, diese nicht einmal ausführen muss. Eine Vorschau im Windows Explorer reicht aus, um das Tool zu missbrauchen (es muss sich jedoch um eine RTF-Datei handeln).
Hure in der Natur missbraucht
Durch den Missbrauch dieses Dienstprogramms können Angreifer den Zielendpunkt (öffnet sich in einem neuen Tab) anweisen, eine HTML-Datei von einer Remote-URL aus aufzurufen. Die Angreifer wählten xmlcom-Formate und versuchten wahrscheinlich, sich hinter der ähnlich aussehenden, wenn auch legitimen Domäne openxmlformats.org zu verstecken, die in den meisten Word-Dokumenten verwendet wird.
Die HTML-Datei enthält viel „Müll“, was ihren wahren Zweck verschleiert: ein Skript, das eine Nutzlast herunterlädt und ausführt.
Der Patch von Microsoft verhindert nicht, dass Office automatisch URI-Handler für das Windows-Protokoll ohne Benutzerinteraktion lädt, blockiert aber die PowerShell-Injection, wodurch der Angriff nutzlos wird.
Sobald es entdeckt wurde, begannen die Forscher damit, den missbrauchten Defekt in freier Wildbahn aufzuspüren. Berichten zufolge gehörten zu den ersten Nutzern chinesische staatlich geförderte Bedrohungsakteure, die Cyberangriffe (öffnet sich in einem neuen Tab) gegen die internationale tibetische Gemeinschaft durchführten.
„TA413 CN APT hat festgestellt, dass ITW Follina 0Day ausnutzt und mithilfe dieser Technik mithilfe von URLs Zip-Dateien mit Word-Dokumenten übermittelt“, sagten Cybersicherheitsforscher von Proofpoint vor zwei Wochen. Dasselbe Unternehmen entdeckte auch, dass ein anderer Bedrohungsakteur, TA570, Follina missbrauchte, um Qbot zu verbreiten, während die NCC Group herausfand, dass Black Basta, eine bekannte Ransomware-Gruppe, Follina weiter missbrauchte.
Über: BleepingComputer (Öffnet in einem neuen Tab)