Wie können wir helfen?

Kategorien
Inhaltsverzeichnis

Zero-Day-Sicherheitslücke “Follina”, so schützen Sie sich.

Drucken
Du bist hier:

Zero-Day-Sicherheitslücke “Follina”, so schützen Sie sich.

Wichtig für Office 2013, 2016, 2019 Anwender.

Microsoft Office beinhaltet eine Sicherheitslücke, welche das Ausführen von Code durch ein manipuliertes (zB.) Word-Dokument ermöglicht – Mit dem Mauszeiger über eine Office-Datei zu fahren reicht aus, um sich mit der Sicherheitslücke zu infizieren, welche den Namen “Follina” trägt. Bis zur Veröffentlichung eines Patches durch Microsoft, wird angeraten, einen Workaround zu implementieren, um das MSDT-URL-Protokoll zu deaktivieren. Welche Programmversionen genau von der Sicherheitslücke betroffen sind, ist noch nicht klar. Es ist Sicherheitsforschern gelungen, den Angriff mit Office 2013, Office 2016 und Office 2021 nachzustellen, andere konnten ihn zumindest bei Office 2021 nicht rekonstruieren.

Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem von den Rechten des Benutzers erlaubten Kontext erstellen”, erklärt Microsoft. Allerdings ist das sogenannte Chaining von Sicherheitslücken nicht unüblich. Dabei wird beispielsweise eine Sicherheitslücke wie Follina zur Infektion des Rechners genutzt, während eine weitere zur Ausweitung der Rechte verwendet wird.

So schützen Sie sich

Um das Ausnutzen der Sicherheitslücke zu verhindern, empfiehlt Microsoft, den URL-Handler für MSDT zu deaktivieren. Nebenwirkung: Hilfedateien lassen sich nicht mehr als Link öffnen, aber die brauchen wohl nur die wenigsten. Vor dem Löschen sollten Sie den entsprechenden Registry-Eintrag sichern. So klappt es:
  1. Drücken Sie die Windows-Taste. Tippen Sie den Befehl cmd ein und drücken Sie die Eingabetaste.
  2. Tippen Sie reg export HKEY_CLASSES_ROOT\ms-msdt msdt.reg ein und drücken Sie die Eingabetaste.
  3. Sie schließen das Fenster mit X und drücken die Windows-Taste.
  4. Tippen Sie den Befehl cmd ein und klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, dann auf Als Administrator ausühren und Ja.
  5. Sie geben reg delete HKEY_CLASSES_ROOT\ms-msdt /f ein und drücken die Eingabetaste. Nach einem Windows-Neustart ist der problematische URL-Handler deaktiviert.
  6. Wann ein offizieller Patch zum Beheben der Lücke folgt, ist nicht bekannt. Hat Microsoft das Problem behoben, können Sie die Einstellung zurücksetzten: Sie öffnen im Explorer den Ordner C:\Benutzer, klicken doppelt auf Ihren Benutzernamen, die Datei msdt.reg, zweimal Ja und OK.
Das schädliche Dokument entdeckten die Sicherheitsforscher zwar nur bei vereinzelten gezielten Angriffen in Belarus, allerdings gibt es mittlerweile Anleitungen und Skripte zum Erstellen solcher schadhaften Dateien. Aktuelle Schutzprogramme entdecken und löschen diese aber.