Microsoft hat am Montag eine Anleitung für eine neu entdeckte Zero-Day-Sicherheitslücke in seiner Office-Produktivitätssuite veröffentlicht, die ausgenutzt werden kann, um auf betroffenen Systemen Code auszuführen.
Die Schwachstelle mit der Kennung CVE-2022-30190 wird im CVSS-Schwachstellenbewertungssystem mit 7,8 von 10 Punkten bewertet. Betroffen sind die Microsoft Office-Versionen Office 2013, Office 2016, Office 2019 und Office 2021 sowie die Professional Plus-Editionen.
„Um unsere Kunden zu schützen, haben wir CVE-2022-30190 und zusätzliche Hinweise hier veröffentlicht“, erklärte ein Microsoft-Sprecher in einer E-Mail an The Hacker News.
Bei der Follina-Schwachstelle, die Ende letzter Woche bekannt wurde, handelte es sich um einen realen Exploit, der die Schwachstelle in einem waffenfähigen Word-Dokument ausnutzte, um beliebigen PowerShell-Code auszuführen, indem er das URI-Schema „ms-msdt:“ verwendete. Das Beispiel wurde von Weißrussland aus auf VirusTotal hochgeladen.
Die ersten Anzeichen für die Ausnutzung der Schwachstelle gehen jedoch auf den 12. April 2022 zurück, als ein zweites Beispiel in die Malware-Datenbank hochgeladen wurde. Es wird vermutet, dass dieses Artefakt einen Nutzer in Russland mit einem bösartigen Word-Dokument („приглашение на интервью.doc“) angriff, das sich als Einladung zu einem Interview mit Sputnik Radio ausgab.
„Es besteht eine Schwachstelle für die Ausführung von Remotecode, wenn MSDT über das URL-Protokoll von einer aufrufenden Anwendung wie Word aufgerufen wird“, so Microsoft in einem Advisory zu CVE-2022-30190.
„Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen. Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem Kontext erstellen, den die Rechte des Benutzers erlauben.
Der Tech-Gigant schrieb crazyman, einem Mitglied der Shadow Chaser Group, zu, dass er die Schwachstelle am 12. April gemeldet hat, zeitgleich mit der Entdeckung des „in-the-wild“-Exploits, der auf russische Nutzer abzielt.
Laut Screenshots, die der Forscher auf Twitter geteilt hat, schloss Microsoft den Bericht am 21. April 2022 mit dem Hinweis, dass „das Problem behoben wurde“, und wies die Schwachstelle als „kein Sicherheitsproblem“ zurück, da sie beim Starten des Diagnosetools einen von einem Supporttechniker bereitgestellten Passkey erfordert.
Neben der Veröffentlichung von Erkennungsregeln für Microsoft Defender for Endpoint hat das Redmonder Unternehmen in seiner Anleitung auch Workarounds angeboten, um das MSDT-URL-Protokoll über eine Änderung der Windows-Registrierung zu deaktivieren.
„Wenn es sich bei der aufrufenden Anwendung um eine Microsoft Office-Anwendung handelt, öffnet Microsoft Office Dokumente aus dem Internet standardmäßig in Protected View oder Application Guard for Office, die beide den aktuellen Angriff verhindern“, so Microsoft.
Es ist nicht das erste Mal, dass Microsoft Office-Protokollschemata wie „ms-msdt:“ wegen ihres potenziellen Missbrauchs in die Kritik geraten sind. Im Januar dieses Jahres hat das deutsche Cybersicherheitsunternehmen SySS aufgedeckt, dass es möglich ist, Dateien direkt über speziell gestaltete URLs wie „ms-excel:ofv|u|https://192.168.1.10/poc[object 0]xls“ zu öffnen.