Schwere Windows Sicherheitslücke "Follina" vorbeugen

Windows Sicherheitslücke „Follina“ – Vorbeugen und Schutz

Heute erkläre ich schnell, wie Ihr einem Schaden durch die schwere Windows Sicherheitslücke „Follina“ vorbeugen könnt. Dies ist zwar seit April bekannt, wurde aber zuerst von Microsoft ignoriert. Erste Angriffe sind schon in freier Wildbahn zu finden, auch in Deutschland. Konkret geht es eigentlich um einen „Zero-Klick“-Vorfall, d.h. es sind kaum Interaktionen seitens des Users notwendig. Es ist irrelevant, ob ein AntiVirus installiert ist oder ob Makros aktiv sind oder nicht.

Dabei wird ein echtes Word-Dokument (ohne Makros!) genutzt, um über den Microsoft Diagnostic Tool (MSDT) und PowerShell Code von einer proprietären HTML Umgebung zu fetchen und in Subprozessen von Office zu integrieren. Abgefragt werden anscheinend Hashwerte, die später genutzt werden können, um Backdoors zu öffnen. Es wird noch mehr gemacht, jedoch lädt der HTML Code nicht mehr. Dies ist kein Schutz, da dieser sich von Minute zu Minute ändern kann.

Die Kollegen von Bleeping-Computer haben es sehr genau in diesem Artikel beschrieben, deshalb spare ich mir die genaue Beschreibung .Wichtig ist nur, dass ich, kaum nachdem ich den Artikel gelesen habe, mit einem Fall in freier Wildbahn konfrontiert wurde.

Der schweren Windows Sicherheitslücke „Follina“ – vorbeugen

Es gibt keinen Patch für diese Lücke und kein AntiVirus Scanner kann helfen, da es sich eigentlich um keine Lücke im eigentlichen Sinne handelt. Man kann nur vorbeugend agieren. Ich habe mich damit nicht lange beschäftigen können und habe einen Hard-Rollback durchgeführt.

Der Kunde hat mich über ein seltsames Verhalten informiert, nachdem er ein Word-Dokument, das ihm intern über das Intranet seines Unternehmens geschickt wurde, angeklickt hat. Wie von Zauberhand startete das Microsoft Diagnostic Tool (msdt.exe) und die PowerShell. Zum Glück war es nicht zu spät. Das Tool kreiert versteckte Subprozesse von Office Instanzen. Ist die Hauptinstanz beendet, werden die Subprozesse nicht mehr im Vordergrund ausgeführt.

Kann ich mich vor der Sicherheitslücke „Follina“ unter Windows schützen?

Es gibt im Moment keinen Patch und keinen Antivirus mit Ausnahme von Windows Defender – ab Build 1.367.851.0 kann den Prozess unterbrechen/verhindern

Vorbeugen

Die Idee hatte Didier Stevens – die Ausführung über die PowerShell geht jedoch schneller.

MSDT Zuordnung löschen

schweren Windows Sicherheitslücke "Follina" -vorbeugen
Der schweren Windows Sicherheitslücke „Follina“ -vorbeugen

Interner Link wird unterbrochen und nicht ausgeführt – dies hat keine Nachteile für den normalen Betrieb:

– Windows PowerShell als Administrator öffnen und Folgendes eingeben 

  1. reg export HKEY_CLASSES_ROOT\ms-msdt msdt-backup – damit sichert Ihr den Key
  2. danach mit reg delete HKEY_CLASSES_ROOT\ms-msdt /f den Key löschen

 später kann der gelöschte Key mit reg import msdt-backup wiederhergestellt werden.

Alternativ hindert Ihr Office daran, Subprozesse zu erstellen. Dies kann über die ASR-Rules bewältigt werden. Genaue Anleitung findet Ihr bei Microsoft unter diesem LINK

Andere Beiträge

  • FTP Verbindung mit PowerShell aufbauen
    FTP Verbindung mit PowerShell aufbauen. Schnell und sicher ohne zusätzliche Tools.
  • Beheben von Aktivierungsfehlern bei Windows Evaluation Edition
    Beheben von Aktivierungsfehlern bei Windows Evaluation. Solltet Ihr eine Windows Server 2019 Standard oder Datacenter Edition installiert haben als Evaluierungsversion. Kommt bei einem Produkt-Key Wechsel ein Fehler meistens 0xc004f050. Auch wenn der Produkt-Key identisch ist mit der installierten Version.
  • NFS Speicher als Repository bei Cisco Prime
    Heute einen NFS Speicher als Backup Repository bei Cisco Prime einbinden in neun Schritten. Es gibt viele Beschreibungen, doch leider ist die bei Cisco nicht ganz logisch – deshalb hier eine „Schritt für Schritt“ Anleitung wie man das tut.
  • HP Z420 flüsterleise: Teil 4 Netzteillüfter
    HP Z420 flüsterleise: Teil 4 Netzteillüfter. Die hier beschriebene Lösung ist eine Machbarkeitsstudie und somit nicht optimal für den normalen Einsatz. Ein HP Z420 kann viel mehr, wenn man das Original 650W Netzteil gegen einen modernes mi z.B. 800W ersetzt. Trotz der notwendigen Anpassungen an der Rückseite des PCs ist diese Option vorzuziehen.
  • HP Z420 flüsterleise: Teil 3 CPU-Lüfter
    HP Z420 flüsterleise: Teil 3 CPU-Lüfter. Dabei tausche ich de Lüfter des Z420 gegen hochwertigere Lüfter der Marke Noctua.

Ähnlich...

Popular Posts