Key Takeaways
- Ein neuartiger Windows-Zero-Click-Angriff, der Computer ohne Benutzeraktion kompromittieren kann, wurde in freier Wildbahn beobachtet.
- Microsoft hat das Problem erkannt und Abhilfemaßnahmen herausgegeben, aber für den Fehler gibt es noch keinen offiziellen Patch.
- Sicherheitsforscher sehen, dass der Fehler aktiv ausgenutzt wird und erwarten in naher Zukunft weitere Angriffe.
Hacker haben einen Weg gefunden, in einen Windows-Computer einzubrechen, indem sie einfach eine speziell präparierte bösartige Datei senden.
Follina genannt, ist der Fehler ziemlich schwerwiegend, da er Hackern ermöglichen könnte, die vollständige Kontrolle über jedes Windows-System zu erlangen, indem er einfach ein modifiziertes Microsoft Office-Dokument sendet. In einigen Fällen müssen die Benutzer die Datei nicht einmal öffnen, da die Windows-Dateivorschau ausreicht, um die unangenehmen Bits auszulösen. Insbesondere hat Microsoft den Fehler anerkannt, aber noch keinen offiziellen Fix veröffentlicht, um ihn zu beseitigen.
"Diese Schwachstelle sollte immer noch ganz oben auf der Liste der Dinge stehen, über die man sich Sorgen machen muss", schrieb Dr. Johannes Ullrich, Forschungsdekan des SANS Technology Institute, im wöchentlichen SANS-Newsletter. „Während Anti-Malware-Anbieter ihre Signaturen schnell aktualisieren, sind sie unzureichend, um sich vor der Vielzahl von Exploits zu schützen, die diese Schwachstelle ausnutzen können.“
Vorschau zu kompromittieren
Die Bedrohung wurde zum ersten Mal von japanischen Sicherheitsforschern gegen Ende Mai mit freundlicher Genehmigung eines bösartigen Word-Dokuments entdeckt.
Sicherheitsforscher Kevin Beaumont deckte die Schwachstelle auf und entdeckte, dass die.doc-Datei einen falschen HTML-Code geladen hat, der dann das Microsoft-Diagnosetool aufruft, um einen PowerShell-Code auszuführen, der wiederum die bösartige Nutzlast ausführt.
Windows verwendet das Microsoft-Diagnosetool (MSDT), um Diagnoseinformationen zu sammeln und zu senden, wenn etwas mit dem Betriebssystem schief geht. Apps rufen das Tool über das spezielle MSDT-URL-Protokoll (ms-msdt://) auf, das Follina auszunutzen beabsichtigt.
"Dieser Exploit ist ein Berg von Exploits, die übereinander gestapelt sind. Leider lässt er sich leicht nachbauen und kann von Antivirenprogrammen nicht erkannt werden", schrieben Sicherheitsbefürworter auf Twitter.
In einer E-Mail-Diskussion mit Lifewire erklärte Nikolas Cemerikic, Cyber Security Engineer bei Immersive Labs, dass Follina einzigartig ist. Es geht nicht den üblichen Weg des Missbrauchs von Office-Makros, weshalb es sogar für Menschen mit deaktivierten Makros verheerende Folgen haben kann.
"Seit vielen Jahren ist E-Mail-Phishing in Kombination mit schädlichen Word-Dokumenten der effektivste Weg, um Zugriff auf das System eines Benutzers zu erh alten", betonte Cemerikic. „Das Risiko wird jetzt durch den Follina-Angriff erhöht, da das Opfer nur ein Dokument öffnen oder in einigen Fällen eine Vorschau des Dokuments über das Windows-Vorschaufenster anzeigen muss, während die Notwendigkeit entfällt, Sicherheitswarnungen zu genehmigen.“
Microsoft hat schnell einige Abhilfemaßnahmen ergriffen, um die von Follina ausgehenden Risiken zu mindern. „Die verfügbaren Abhilfemaßnahmen sind unordentliche Problemumgehungen, für die die Branche keine Zeit hatte, die Auswirkungen zu untersuchen“, schrieb John Hammond, ein leitender Sicherheitsforscher bei Huntress, im Deep-Dive-Blog des Unternehmens über den Fehler. "Sie beinh alten das Ändern von Einstellungen in der Windows-Registrierung, was eine ernste Angelegenheit ist, da ein falscher Registrierungseintrag Ihren Computer blockieren könnte."
Diese Schwachstelle sollte immer noch ganz oben auf der Liste der Dinge stehen, über die man sich Sorgen machen muss.
Obwohl Microsoft keinen offiziellen Patch zur Behebung des Problems veröffentlicht hat, gibt es einen inoffiziellen vom 0patch-Projekt.
Bei der Besprechung des Fixes schrieb Mitja Kolsek, Mitbegründer des 0patch-Projekts, dass es zwar einfach wäre, das Microsoft-Diagnosetool vollständig zu deaktivieren oder die Korrekturschritte von Microsoft in einem Patch zu kodifizieren, das Projekt jedoch aufgegeben wurde einen anderen Ansatz, da beide Ansätze die Leistung des Diagnosetools negativ beeinflussen würden.
Es hat gerade erst begonnen
Cybersicherheitsanbieter haben bereits festgestellt, dass der Fehler aktiv gegen einige hochkarätige Ziele in den USA und Europa ausgenutzt wird.
Obwohl alle aktuellen Exploits in freier Wildbahn Office-Dokumente zu verwenden scheinen, kann Follina durch andere Angriffsvektoren missbraucht werden, erklärte Cemerikic.
Cemerikic erklärte, warum er glaubte, dass Follina nicht in absehbarer Zeit verschwinden werde, und sagte, dass Hacker, wie bei jedem größeren Exploit oder jeder Schwachstelle, schließlich damit beginnen würden, Tools zu entwickeln und zu veröffentlichen, um die Ausbeutungsbemühungen zu unterstützen. Dadurch werden diese ziemlich komplexen Exploits im Wesentlichen zu Point-and-Click-Angriffen.
"Angreifer müssen nicht länger verstehen, wie der Angriff funktioniert, oder eine Reihe von Schwachstellen miteinander verketten, sie müssen lediglich in einem Tool auf "Ausführen" klicken", sagte Cemerikic.
Er argumentierte, dass dies genau das sei, was die Cybersicherheitsgemeinschaft in der vergangenen Woche erlebt habe, wobei ein sehr schwerwiegender Exploit in die Hände weniger fähiger oder ungebildeter Angreifer und Skript-Kiddies gelegt wurde.
"Je mehr diese Tools im Laufe der Zeit verfügbar werden, desto mehr wird Follina als Methode zur Malware-Bereitstellung verwendet, um Zielcomputer zu kompromittieren", warnte Cemerikic und forderte die Leute auf, ihre Windows-Computer unverzüglich zu patchen.
