Zero-Day-Sicherheitslücken sind mitunter einer der schlimmsten Vorfälle für Hersteller und Sicherheitsverantwortliche: Es gibt keinen Patch zum Schließen und oft auch keinen praktikablen Workaround zum Abmildern. Gut, wenn dann ein offener Umgang seitens des betroffenen Herstellers mit der Problematik besteht. Leider ist das bei Microsoft aktuell nicht der Fall. Gleichzeitig sind nahezu alle Windows Versionen betroffen.
Der Inhalt im Überblick
Das Wichtigste zu Follina in Kürze:
In einer Standardanwendung von Microsoft Windows besteht aktuell eine Zero-Day-Sicherheitslücke, die im Grunde alle modernen Versionen betrifft. Um diese auszunutzen und entfernten Schadcode auszuführen, ist zudem u.a. keine Interaktion des Benutzers erforderlich. Microsoft tut das Problem im April ab, obwohl aktive Angriffe über die Schwachstelle laufen. Microsoft schweigt sich anschließend weiter aus und liefert bis heute keinen Patch.
Danke für nichts Microsoft!
Was ist passiert?
Microsoft hat ein Problem. Eigentlich mindestens zwei. Zum einen eine Anwendung, das Microsoft Support Diagnostic Tool (MSDT), welches an einer Zero-Day-Sicherheitslücke leidet. Zum anderen die dies bezügliche Kommunikation.
Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke in eine Software, welche erst bekannt wird, nachdem diese bereits durch Angreifer ausgenutzt wird. Das heißt, zum Zeitpunkt der Angriffe gibt es noch keinen Patch für die Software und man ist diesen erstmal schutzlos ausgeliefert. Nun ist die Auswahl an Software am Markt relativ groß und man kann Glück haben, die betroffene Software nicht im Einsatz zu haben. Nur handelt es sich in diesem Fall um eine Windows-Komponente, welche in jeder modernen Windows Installation vorhanden ist.
Das bedeutet, wenn Sie Windows einsetzen und bis jetzt noch nichts zu Follina gelesen haben, ist das nicht verwunderlich, aber es wird höchste Zeit. Denn die Kommunikation seitens Microsoft zu dem Thema war bis jetzt relativ bescheiden.
Zum einen wurde die Lücke erkannt, da diese bereits aktiv ausgenutzt wird. Zum anderen war eine der ersten Reaktionen von Microsoft auf die Meldung der Schwachstelle, dass es sich dabei um kein sicherheitsrelevantes Problem handele. Die Lücke lässt sich u.a. über Microsoft-Office-Dokumente ausnutzen. Trotz der ersten Absage wurde später offenbar an einem Patch des Problems gearbeitet und erste Microsoft-Office-Versionen sind nicht mehr verwundbar. Auch wenn die Infektion zurzeit über Office-Dokumente durchgeführt wird, ist es im Grunde keine Verwundbarkeit in Microsoft Office.
Fakt ist aber, präparierte Office-Dokumente sind wieder mal das Einfallstor für eine Reihe von Angriffen auf die IT-Infrastruktur.
Das Microsoft Support Diagnostic Tool (MSDT)
Doch wie bereits erwähnt ist nicht Microsoft Office das eigentliche Ziel, sondern das MSDT. Dafür rufen präparierte Dokumente das Tool auf, um Schadcode nachzuladen oder PowerShell Befehle auszuführen.
Das MSDT ist dafür da, um Informationen vom System auszulesen und anschließend an den Microsoft Support Mitarbeiter zu senden. Dieser kann mit den gesammelten Informationen Probleme und im Idealfall auch eine Lösung ermitteln. Nimmt man den Support nicht in Anspruch, sind die aktiven Berührungspunkte mit diesem Tool auch überschaubar.
Wie die Schwachstelle ausgenutzt wird
Bei der aktuellen Problematik wird der Umstand ausgenutzt, dass durch Applikationen wie Word das MSDT aufgerufen werden kann. Mittels ausgewählter Parameter kann dann über den URI-Handler Code aus der Ferne nachgeladen und ausgeführt werden. Der Uniform Resource Identifier kurz URI beschreibt eine gewöhnliche Adresse wie z.B. http://<IP-Adresse>/evil.code. Der Handler nimmt die Adresse, welcher der Angreifer in das Dokument eingebettet hat und ruft diese auf. Dafür müssen in Microsoft Word zuvor die Inhalte aktiviert werden. Wer also keine Makros zulässt, ist über Microsoft Office soweit geschützt. Allerdings ist Word nur eins von mehreren Tools, welches das MSDT aufrufen kann.
Zero Touch – jetzt wird’s schmerzhaft
Die klassischen Microsoft-Office-Formate sind den meisten bekannt. Was hingegen aufgrund seiner geringen Verwendung unbekannter ist, und auch mir im beruflichen Kontext selten begegnet, ist das Rich Text Format (RTF). Auch Dokumente im RTF-Format lassen sich mit Schadcode präparieren. Diese werden in der Regel auch von Word geöffnet. Der Kniff ist aber, man braucht das Dokument gar nicht öffnen. Ist die Vorschau im Datei-Explorer aktiv und man öffnet den Ordner, in welchem sich die präparierte Datei befindet, wird der Schadcode im RTF-Dokument nachgeladen und ausgeführt.
Somit muss der Benutzer das Dokument nicht mal öffnen, um Schadcode auszuführen. Wenn wir das mal weiterspinnen: Legt ein Benutzer ein betroffenes Dokument auf einem Netzlaufwerk ab, welches mit anderen geteilt ist, sind automatisch alle Benutzer betroffen, die diesen Ordner öffnen und die Vorschauansicht angeschaltet haben.
Großflächige Angriffe laufen bereits
Waren Angriffe Ende April und Anfang Mai noch vereinzelt und wurden staatlichen Akteuren zugeordnet, ist die Zero-Day-Schwachstelle Follina inzwischen bei der Masse der Kriminellen angekommen. Größere Player wie Qakbot nutzen die Schwachstelle inzwischen aktiv aus. Qakbot selbst stiehlt Informationen und Zugangsdaten von seinem Opfern und verkauft diese später im Darknet.
Hierbei verschicken diese eine Mail mit einer HTML-Seite im Anhang. Diese lädt ein zip-Archiv herunter, in welchem sich ein Fake-Link zur einem „Ordner“ befindet. In Wirklichkeit führt der Klick aber die im selben Archiv befindliche Malware aus. Weiterhin befindet sich auch ein Word-Dokument im Archiv, welches die betroffene Schwachstelle ausnutzt. Letztendlich versucht Qakbot sich damit tief im System zu verankern.
Mit dem z.B. gewonnen Zugängen können Dritte später tiefer ins Netzwerk eindringen, Firmengeheimnisse stehlen und / oder eine Ransomware zünden.
Und was macht Microsoft?
Microsoft hat das Problem inzwischen als Security Thema identifiziert – es brennt ja auch erst seit April – und gibt inzwischen Tipps, wie das Problem entschärft werden kann. Einen Patch gibt es weiterhin nicht, aber eine Reihe von Workarounds, welche hier nachzulesen sind.
Ein bisschen Licht am Ende des Tunnels ist auch schon in Sicht. Im Sinne der Sicherheit plant Microsoft in Zukunft alle VBA-Skripte bzw. Dokumente mit Markos aus dem Internet zu blockieren. Es reicht dann nicht mehr, dass ein Benutzer mit einem Klick die Makros im Dokument aktiviert. Grundsätzlich sagt Microsoft, dass eine Lösung des Problems mittels klassischer Gruppenrichtlinieneinstellungen nicht möglich sei. (Mittels Gruppenrichtlinien lassen sich Windows Systeme zentral konfigurieren.) Allerdings zeigt der bekannt Sicherheitsforscher Benjamin Delpy, u.a. bekannt für das Tool „mimikatz“, dass eine mögliche Gruppenrichtline durchaus dazu in der Lage ist, das Problem zu fixen. Hierbei wird ein Wert in der Windows Registry durch die besagte Richtlinie überschrieben. Microsoft führt die Lösung in ihrem Supportdokument allerdings nicht auf. Offenbar widerstrebt es ihnen, das Tool einfach auszuschalten.
Diese Lösung erlaubt es aber zentral, alle betroffenen Rechner mit dem Workaround zu versehen und, nach bereitgestelltem Patch, dies später auch zurückzurollen.
Webinar zum Thema IT‑Notfall Ransomware
Letztendlich bleibt Unternehmen aber nur sich darauf einzustellen, dass solche Vorfälle immer wieder vorkommen werden, Patches nicht rechtzeitig verfügbar sind und man sich früher oder später mit der Bewältigung eines Sicherheitsvorfalls beschäftigen muss.
Ist dieser Ernstfall eingetreten, ist der Umgang mit einem erfolgreichen Angriff, welcher z.B. mittels Ransomware durchgeführt werden kann, alles andere als trivial. Eine gute Vorbereitung mit Notfallplänen kann Unsicherheiten nehmen und vor Fehlentscheidungen schützen.
Sie wissen nicht, wie die konkrete Umsetzung gemeistert werden kann? In unserem Webinar im Kleingruppenformat IT‑Notfall Ransomware erfahren Sie, wie die Erstellung eines Notfallplans gelingt und dabei Schäden im Fall eines Angriffs reduziert werden können. Mit dem Code „Webinar2022B“ erhalten Blogleser aktuell 10% Rabatt auf die Teilnahmegebühr.
Kann man das Tool MSDT.exe in c:\Windows\System32 nicht einfach umbennen, so dass es nicht mehr aktiv ist oder falls es aufgerufen werden muss, einfach ein Dummy-Tool mit dem Namen versehen?
Grundsätzlich sollte an den Programme, welche das Betriebssystem verwendet keine eigenmächtige Änderungen wie das Ersetzten der EXE-Datei o.Ä. durchgeführt werden. Dies gefährdet die Systemstabilität und kann z.B. beim nächsten Update direkt zu Fehlern führen.
Die im Artikel beschrieben Lösungen sind im Moment mit der beste Weg, weil sie sich auch schnell zurückrollen lassen. Alternativ kann man auch die Programmausführung des Programms z.B. via Applocker vorübergehend blockieren.
Egal welchen Weg man geht, immer vorher testen, bevor man es in der Masse ausrollt!