Worum geht es bei Follina?
Microsoft hat die inzwischen Follina genannte Sicherheitslücke CVE-2022-30190 bestätigt, die eine Remote Code Execution (RCE) ermöglicht, “wenn MSDT unter Verwendung des URL-Protokolls von einer Anwendung wie Word aufgerufen wird.” Die Sicherheitsfirma Huntress geht in einer Analyse davon aus, dass die Sicherheitslücke in den nächsten Tagen in größerem Stil ausgenutzt wird.
Die Schwachstelle ermöglicht es Angreifern, beliebigen Code mit den Rechten der aufrufenden Anwendung auszuführen, so Microsoft. Das Perfide an der Schwachstelle ist, dass das Aktivieren von Makros oder das Öffnen des Office-Programm nicht notwendig ist, um eine Infektion hervorzurufen: Es reicht bereits aus, bei einer heruntergeladenen Datei eine Hover-Vorschau auszulösen.
Weitreichende Folgen bei Infektion
Ist ein Rechner infiziert, kann der Angreifer “Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem von den Rechten des Benutzers erlaubten Kontext erstellen”, erklärt Microsoft. Außerdem weist Microsoft darauf hin, dass auch das sogenannte Chaining von Sicherheitslücken denkbar ist. Dabei wird eine Sicherheitslücke wie Follina zur Infektion des Rechners genutzt; weitere Sicherheitslücken werden dann beispielsweise zum Ausweiten der Rechte verwendet.
Wie können Sie sich schützen?
Microsoft rät dazu, das MSDT-URL-Protokoll zu deaktivieren. Dazu muss die Eingabeaufforderung als Administrator gestartet und mit zwei Befehlen der Registrierungsschlüssel gesichert und dann gelöscht werden. Außerdem erwähnt Microsoft auf die Cloud-Protection seiner Antivirus-Software Defender.
Schutz vor Follina durch NoSpamProxy
Content Disarm and Reconstruction (CDR) entschärft Word- und Excel-Dateien
Kunden von NoSpamProxy profitieren von der integrierten PDF-Konvertierung, auch Content Disarm and Reconstruction (CDR) genannt. Diese wandelt Microsoft Word- und Microsoft Excel-Dokumente sowie PDF-Dokumente in ungefährliche PDF-Dateien um, wobei eventuell vorhandener Schadcode entfernt wird. Die PDF-Datei kann dann ohne Bedenken verwendet und die Originaldatei entweder an der E-Mail belassen oder entfernt werden.
Der Inhaltsfilter blockiert weitere gefährliche Formate
Nach aktuellem Wissensstand sind alle Office-Formate sowie RTF-Dateien von der Sicherheitslücke betroffen. Dies schließt neben Word (beispielsweise DOC, DOCX, DOCM und DOTM) und Excel (beispielsweise XLS, XLSX, XLSM und XLTM) auch verbreitete Dateiformate wie beispielsweise PowerPoint (beispielsweise PPT, PPTX, POTX und PPTM) ein.
Wir empfehlen daher dringend, den Inhaltsfilter in NoSpamProxy so zu konfigurieren,
- dass Anhänge in den betroffenen Dateiformaten auf das Webportal verschoben werden und bis zur manuellen Freigabe dort verbleiben oder
- dass Anhänge in den betroffenen Dateiformaten entfernt werden beziehungsweise die gesamte E-Mail abgewiesen wird.
Für Anhänge im RTF-Format empfehlen wir in jedem Fall dringend das Entfernen des Anhangs beziehungsweise das Abweisen der E-Mail.
