Was ist passiert?

Am 31.05.22 veröffentlichte das BSI eine neue Sicherheitswarnung wegen einer kritischen Sicherheitslücke (CVE-2022-30190) in Microsofts Support Diagnostic Tool (MSDT). Die Sicherheitslücke hat den Namen Follina bekommen. Die Gefährdung wird vom BSI mit 3/4 bewertet. 
Laut dem BSI und Microsoft gibt es bereits eine aktive Ausnutzung der Schwachstelle.

 

Wie wird Follina für einen Angriff benutzt?

Ein Angriff erfolgt über das Microsofts Support Diagnostic Tool, welches über das Protokoll ms-msdt aufgerufen wird. 
Dabei wird eine präparierte Word oder Excel Datei geöffnet, die wiederum eine HTML Seite aus dem Internet nachlädt und anschließend kann über die vorhandene Sicherheitslücke Code ausgeführt und der Computer übernommen werden. Diese Schwachstelle betrifft alle Microsoft Office Versionen. Mittlerweile ist allerdings auch bekannt, dass der Angriff auch ohne Microsoft Office funktioniert.

 

Wie kann ich mich schützen?

Zum jetzigen Zeitpunkt gibt es noch keine Sicherheitsupdate von Microsoft. Allerdings hat Microsoft einen Workaround veröffentlicht:
https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

  1. Führen Sie die Eingabeaufforderung als Administrator aus.
  2. Um den Registrierungsschlüssel zu sichern, führen Sie den Befehl “reg export HKEY_CLASSES_ROOT\ms-msdt filename” aus.
  3. Führen Sie den Befehl „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“ aus.

Dabei ist allerdings zu beachten, dass dieser Schlüssel auch unter HKCU und HKLM existieren kann.
Wir raten daher, den Diagnose Wizzard vorübergehend komplett zu deaktivieren. Das kann entweder per Registry Key erfolgen:

reg add “HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics” /t REG_DWORD /v EnableDiagnostics /d 0

oder per GPO:

Computerkonfiguration\Richtlinien\Administrative Vorlagen\System\Problembehandlung und Diagnose\Skriptdiagnose

Problembehandlung: Zugriff und Ausführung von Problembehandlungs-Assistenten durch Benutzer zulassen

auf “Deaktiviert” setzen.

follina-gpo

Was kann ich tun, wenn ich angegriffen wurde?

Sobald Sie merken, dass Sie angegriffen wurden, trennen Sie sämtliche IT-Systeme vom Netz und kontaktieren Ihren IT-Dienstleister. Wenn Sie regelmäßig Backups durchführen, kann das System unter Umständen auf einen älteren Stand wiederhergestellt werden.

Sollten Sie nicht selber in der Lage sein, die oben genannten Maßnahmen umzusetzen, raten wir dringend dazu, sich an Ihren IT-Dienstleister zu wenden.

Für Unternehmen in Mainz, Wiesbaden und Umgebung stehen wir von make it eazy als IT-Dienstleister gerne zur Verfügung.

 

Weitere Quellen:

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2022/2022-224508-1032.pdf;jsessionid=6E9F0D53F1728EDD4DFB1450A503CE27.internet461?__blob=publicationFile&v=2

https://www.pwndefend.com/2022/05/30/office-microsoft-support-diagnostic-tool-msdt-vulnerability-follina/