Ein APT-Akteur (Advanced Persistent Threat), der mit chinesischen Staatsinteressen verbunden ist, wurde dabei beobachtet, wie er die neue Zero-Day-Schwachstelle in Microsoft Office ausnutzte, um Code auf betroffenen Systemen auszuführen.
„TA413 CN APT spotted [in-the-wild] exploiting the Follina zero-day using URLs to deliver ZIP archives which contain Word Documents that use the technique,“ enterprise security firm Proofpoint said in a tweet.
„Die Kampagnen geben sich als das ‚Women Empowerments Desk‘ der tibetischen Zentralverwaltung aus und verwenden die Domain tibet-gov.web[.]app.“
TA413 ist vor allem für seine Kampagnen bekannt, die auf die tibetische Diaspora abzielen und Implantate wie Exile RAT und Sepulcher sowie eine bösartige Firefox-Browsererweiterung namens FriarFox verbreiten.
Die hochgradige Sicherheitslücke mit dem Namen Follina und der Kennung CVE-2022-30190 (CVSS-Score: 7.8) betrifft einen Fall von Remotecodeausführung, bei dem das URI-Schema des „ms-msdt:“-Protokolls zur Ausführung von beliebigem Code missbraucht wird.
Der Angriff ermöglicht es Bedrohungsakteuren, den Schutz der geschützten Ansicht für verdächtige Dateien zu umgehen, indem sie das Dokument einfach in eine RTF-Datei (Rich Text Format) umwandeln und so den eingeschleusten Code ausführen, ohne das Dokument überhaupt über das Vorschaufenster im Windows File Explorer zu öffnen.
Während der Fehler in der vergangenen Woche große Aufmerksamkeit erlangte, gibt es Hinweise darauf, dass der Fehler des Diagnosewerkzeugs in realen Angriffen auf russische Nutzer/innen bereits vor über einem Monat, am 12. April 2022, aktiv ausgenutzt wurde, als er Microsoft gemeldet wurde.
Das Unternehmen betrachtete den Fehler jedoch nicht als Sicherheitsproblem und schloss den Bericht über die Sicherheitslücke mit der Begründung, dass das MSDT-Dienstprogramm einen von einem Supporttechniker zur Verfügung gestellten Passkey benötigt, bevor es Nutzdaten ausführen kann.
Die Sicherheitslücke besteht in allen derzeit unterstützten Windows-Versionen und kann über die Microsoft Office-Versionen Office 2013 bis Office 21 und die Office Professional Plus-Editionen ausgenutzt werden.
„Dieser elegante Angriff wurde entwickelt, um Sicherheitsprodukte zu umgehen und unter dem Radar zu fliegen, indem er die Remote-Vorlagenfunktion von Microsoft Office und das ms-msdt-Protokoll ausnutzt, um bösartigen Code auszuführen, ohne dass Makros erforderlich sind“, so Jerome Segura von Malwarebytes.
Obwohl noch kein offizieller Patch verfügbar ist, hat Microsoft empfohlen, das MSDT-URL-Protokoll zu deaktivieren, um den Angriffsvektor zu verhindern. Außerdem wird empfohlen, das Vorschaufenster im Datei-Explorer zu deaktivieren.
„Das Besondere an ‚Follina‘ ist, dass dieser Exploit keine Office-Makros ausnutzt und daher auch in Umgebungen funktioniert, in denen Makros vollständig deaktiviert wurden“, so Nikolas Cemerikic von Immersive Labs.
„Damit der Exploit wirksam wird, muss der Nutzer das Word-Dokument nur öffnen und anzeigen oder eine Vorschau des Dokuments im Vorschaufenster des Windows Explorers anzeigen. Da Word in diesem Fall nicht vollständig gestartet werden muss, handelt es sich praktisch um einen Null-Klick-Angriff.“