Nach allem bisher Bekannten könnte es andere Möglichkeiten geben, die Schwachstelle von MS Office „Follina“ auszulösen oder zu missbrauchen. Sicherheitsforscher Kevin Beaumont wies auf die Schwachstelle hin, die sich bis zur Vergabe einer offiziellen CVE-Nummer als nützliches Suchwort zu dem Thema entpuppt.
Wie funktioniert die aktuelle Lücke?
- Benutzer öffnen eine DOC-Datei mit versteckter Malware, die sie beispielsweise per E-Mail erhalten haben.
- Das Dokument verweist auf eine normal aussehende https: URL zum Herunterladen.
- Diese https: URL verweist auf eine HTML-Datei, die JavaScript-Code enthält.
- JavaScript wiederum zeigt auf eine URL mit einer ungewöhnlichen Kennung ms-msdt: statt https:. In Windows ist ms-msdt: ein benutzerdefinierter URL-Typ, der das MSDT-Software-Toolkit startet. MSDT steht für Microsoft Support Diagnostic Tool.
- Die über eine URL an die MSDT gesendete Befehlszeile führt unzuverlässigen Code aus.
Bildquelle: Sophos
Wenn die bösartige ms-msdt:-Verbindung aufgerufen wird, löst sie den MSDT-Befehl mit Befehlszeilenargumenten wie den folgenden aus: msdt / id pcwdiagnostic …. Bei manueller Ausführung ohne weitere Parameter lädt dieser Befehl automatisch MSDT und ruft die Entfernung auf Werkzeug für harmlos erscheinende Programmkompatibilitätsprobleme:
Von hier aus können Benutzer eine Fehlerbehebungs-App auswählen, die eine Vielzahl von Supportfragen beantwortet, automatisierte Tests in der App ausführen oder ein Microsoft-Problem melden, während sie verschiedene Informationen zur Fehlerbehebung hochladen. Obwohl Benutzer wahrscheinlich nicht erwarten, auf dieses Diagnosedienstprogramm zuzugreifen, indem sie einfach ein Word-Dokument öffnen, steigt die Wahrscheinlichkeit, dass sie diese Reihe von Popup-Dialogfeldern „akzeptieren“.
Automatische Remote-Skriptausführung
Im Fall von Follina scheinen sich die Angreifer jedoch einige ungewöhnliche, aber sehr schwierige Optionen ausgedacht zu haben, um sich in die Befehlszeile einzuschleichen. Daher funktioniert die MSDT-Fehlerbehebung remote. Anstatt gefragt zu werden, wie der Benutzer fortfahren möchte, haben Cyberkriminelle eine Reihe von Parametern erstellt, die nicht nur dafür sorgen, dass die Operation automatisch fortgesetzt wird (wie die Optionen / skip und / force), sondern auch ein PowerShell-Aufrufskript. Erschwerend kommt hinzu, dass dieses PowerShell-Skript nicht einmal in einer Datei auf der Festplatte sein muss – es kann als verschlüsselter Quellcode direkt von der Befehlszeile selbst bereitgestellt werden, zusammen mit allen anderen verwendeten Optionen. Im Fall Follina sagt Hammond, dass PowerShell verwendet wird, um eine ausführbare Datei mit Malware zu extrahieren und auszuführen, die in komprimierter Form bereitgestellt wird.
Keine Makros erforderlich
Wichtig ist, dass dieser Angriff von Word ausgelöst wird, das sich auf die betrügerische ms-msdt bezieht: eine URL, auf die von der in der DOC-Datei selbst enthaltenen URL verwiesen wird. Für dieses Verfahren sind keine VBA-Office-Makros (Visual Basic for Applications) erforderlich, sodass dieser Trick auch dann funktioniert, wenn Office-Makros deaktiviert sind.
Das Ganze sieht also aus wie ein praktisches “Feature” für eine Office-URL, kombiniert mit einem nützlichen “Feature” zur Diagnose von MSDT. Tatsächlich wird jedoch eine Schwachstelle geschaffen, die dazu führen könnte, dass die Remotecodeausführung mit einem Klick ausgenutzt wird. Auf diese Weise kann bereits beim Öffnen eines so präparierten Word-Dokuments Schadsoftware übertragen werden, ohne dass der Nutzer es merkt.
Tatsächlich schreibt Hammond, dass dieser Trick zu einem noch direkteren Angriff werden könnte, indem betrügerische Inhalte in eine RTF-Datei statt in eine DOC-Datei verpackt werden. In diesem Fall reicht es aus, das Dokument nur im Windows Explorer anzuzeigen, um den Exploit auszulösen, ohne auch nur darauf zu klicken, um es zu öffnen. Nur das Anzeigen des Thumbnail-Vorschaufensters führt dazu, dass Windows und Office stolpern.
Was soll ich machen?
Microsoft hat bereits eine formelle Lösung veröffentlicht und wir hoffen, bald eine dauerhafte Lösung veröffentlichen zu können. So bequem Microsofts proprietäre URLs ms-xxxx auch sein mögen, die Tatsache, dass sie darauf ausgelegt sind, Prozesse automatisch zu starten, wenn bestimmte Dateitypen geöffnet oder auch nur angezeigt werden, ist eindeutig ein Sicherheitsrisiko.
Eine gängige Community-Technik zur Fehlerbehebung besteht auch darin, einfach die Verknüpfung zwischen ms-msdt: URLs und dem Dienstprogramm MSDT.EXE zu unterbrechen. Sophos-Experte Paul Ducklin beschreibt dies ausführlich in seinem Blogbeitrag.
www.sophos.com/de-de
Add Comment