{"id":28760,"date":"2022-06-02T13:23:47","date_gmt":"2022-06-02T11:23:47","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28760"},"modified":"2022-06-02T13:23:47","modified_gmt":"2022-06-02T11:23:47","slug":"follina-cve-2022-30190-msdt","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/follina-cve-2022-30190-msdt\/28760\/","title":{"rendered":"Schwachstelle Follina erm\u00f6glicht Angriffe \u00fcber Office-Dateien"},"content":{"rendered":"<p>Erneut haben Forscher eine schwerwiegende Schwachstelle in Microsoft-Produkten entdeckt, die Angreifern die Ausf\u00fchrung von beliebigem Code erm\u00f6glichen kann. Die Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2022-30190\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2022-30190<\/a> wurde von Forschern auf den Namen \u201eFollina\u201c getauft. Beunruhigend ist momentan vor allem die Tatsache, dass der Bug noch nicht gefixt werden konnte und die Schwachstelle bereits aktiv von Cyberkriminellen ausgenutzt wird. W\u00e4hrend sich ein Update aktuell noch in der Entwicklung befindet, wird allen Windows-Nutzern und -Administratoren empfohlen, vor\u00fcbergehende Workarounds zu verwenden.<\/p>\n<h2>Was ist CVE-2022-30190 und welche Produkte sind betroffen?<\/h2>\n<p>Die Schwachstelle CVE-2022-30190 befindet sich im Microsoft Windows Support Diagnostic Tool (MSDT), was auf den ersten Blick nicht besonders besorgniserregend erscheint. Leider kann die Schwachstelle aufgrund der Implementierung des Tools \u00fcber ein b\u00f6sartiges MS-Office-Dokument ausgenutzt werden.<\/p>\n<p>Die Anwendung MSDT wird eingesetzt, um Diagnoseinformationen automatisch zu sammeln und zur Probleml\u00f6sung an Microsoft weiterzuleiten. Das Tool kann \u00fcber das spezielle MSDT-URL-Protokoll \u00fcber andere Anwendungen aufgerufen werden; Microsoft Word ist in diesem Rahmen das beliebteste Beispiel. Wird die Schwachstelle erfolgreich ausgenutzt, kann ein Angreifer beliebigen Code mit den Rechten der jeweiligen Anwendung ausf\u00fchren \u2013 in diesem Fall mit den Rechten des Nutzers, der die sch\u00e4dliche Datei ge\u00f6ffnet hat.<\/p>\n<p>Die Schwachstelle CVE-2022-30190 kann in allen Windows-Betriebssystemen ausgenutzt werden.<\/p>\n<h2>So nutzen Angreifer CVE-2022-30190 aus<\/h2>\n<p>Wie ein Angriff aussehen k\u00f6nnte, beschreiben die Forscher, die die Sicherheitsl\u00fccke entdeckt haben, \u00fcber folgendes Szenario: Angreifer erstellen ein b\u00f6sartiges MS-Office-Dokument und lassen es ihrem Opfer zukommen. Meist erfolgt dies \u00fcber eine E-Mail mit sch\u00e4dlichem Anhang, die den Empf\u00e4nger via Social-Engineering-Techniken davon \u00fcberzeugt, die Datei zu \u00f6ffnen.<\/p>\n<p>Die infizierte Datei enth\u00e4lt einen Link zu einer HTML-Datei, die JavaScript-Code enth\u00e4lt, der sch\u00e4dlichen Code in der Befehlszeile via MSDT ausf\u00fchrt. Als Ergebnis eines erfolgreichen Exploits k\u00f6nnen die Angreifer Programme installieren, Daten anzeigen, \u00e4ndern oder zerst\u00f6ren sowie neue Konten erstellen \u2013 das hei\u00dft, sie k\u00f6nnen alles tun, was mit den Rechten des Opfers im System m\u00f6glich ist.<\/p>\n<h2>So k\u00f6nnen Sie sich sch\u00fctzen<\/h2>\n<p>Wie oben erw\u00e4hnt, gibt es noch keinen Patch f\u00fcr die Schwachstelle. Deshalb <a href=\"https:\/\/msrc-blog.microsoft.com\/2022\/05\/30\/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability\/\" target=\"_blank\" rel=\"noopener nofollow\">empfiehlt<\/a> Microsoft momentan, das MSDT-URL-Protokoll zu deaktivieren. Dazu m\u00fcssen Sie eine Eingabeaufforderung mit Administratorrechten ausf\u00fchren und den Befehl <code>reg delete HKEY_CLASSES_ROOT\\ms-msdt \/f<\/code> ausf\u00fchren. Bevor Sie dies tun, sollten Sie die Registry sichern, indem der Befehl <code>reg export HKEY_CLASSES_ROOT\\ms-msdt <em>filename<\/em><\/code> ausgef\u00fchrt wird. Sobald dieser Workaround nicht mehr ben\u00f6tigt wird, ist so \u00fcber den Befehl <code>reg import filename<\/code> eine schnelle Wiederherstellung der Windows-Registrierdatenbank gew\u00e4hrleistet.<\/p>\n<p>Selbstverst\u00e4ndlich handelt es sich hierbei lediglich um eine vor\u00fcbergehende Ma\u00dfnahme, bis ein Update, das die Follina-Schwachstelle schlie\u00dft, verf\u00fcgbar ist.<\/p>\n<p>Die beschriebenen Exploit-Methoden beinhalten den Einsatz von E-Mails mit sch\u00e4dlichen Anh\u00e4ngen und Social-Engineering-Methoden. Wir empfehlen daher, E-Mails von unbekannten Absendern noch vorsichtiger als sonst zu behandeln \u2013 insbesondere, wenn diese angeh\u00e4ngte MS-Office-Dokumente enthalten. F\u00fcr Unternehmen ist es sinnvoll, Mitarbeiter regelm\u00e4\u00dfig <a href=\"https:\/\/k-asap.com\/de\/?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">auf die relevantesten Tricks von Cyberkriminellen aufmerksam zu machen<\/a>.<\/p>\n<p>Zudem sollten alle Ger\u00e4te mit Internetzugang mit einer <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">robusten Sicherheitsl\u00f6sung<\/a> ausgestattet sein. So kann verhindert werden, dass Schadcode auf dem Computer eines Benutzers ausgef\u00fchrt wird, selbst wenn es zum Exploit einer unbekannten Schwachstelle kommt.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-top3\">\n","protected":false},"excerpt":{"rendered":"<p>Die neue Schwachstelle CVE-2022-30190, auch Follina genannt, erm\u00f6glicht den Exploit des Windows Support Diagnostic Tools \u00fcber MS Office-Dateien.<\/p>\n","protected":false},"author":2698,"featured_media":28762,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,1848,3107,3108],"tags":[3920,3531,2903,1498,33],"class_list":{"0":"post-28760","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"tag-0days","12":"tag-rce","13":"tag-schwachstelle","14":"tag-schwachstellen","15":"tag-windows"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/follina-cve-2022-30190-msdt\/28760\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/follina-cve-2022-30190-msdt\/24226\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/19707\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/9931\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/26554\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/follina-cve-2022-30190-msdt\/24512\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/follina-cve-2022-30190-msdt\/27225\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/follina-cve-2022-30190-msdt\/26749\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/follina-cve-2022-30190-msdt\/33255\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/follina-cve-2022-30190-msdt\/10743\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/follina-cve-2022-30190-msdt\/44461\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/follina-cve-2022-30190-msdt\/18969\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/follina-cve-2022-30190-msdt\/19523\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/follina-cve-2022-30190-msdt\/28301\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/follina-cve-2022-30190-msdt\/25076\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/follina-cve-2022-30190-msdt\/30588\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/follina-cve-2022-30190-msdt\/30337\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/schwachstelle\/","name":"Schwachstelle"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28760","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=28760"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28760\/revisions"}],"predecessor-version":[{"id":28765,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28760\/revisions\/28765"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/28762"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=28760"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=28760"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=28760"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}