Sicherheitsexperten haben eine neue Zero-Day-Sicherheitslücke in Microsoft Office entdeckt
Sicherheitsexperten machen auf eine Zero-Day-Sicherheitslücke in Microsoft Office aufmerksam, die zur Ausführung von beliebigem Code auf betroffenen Windows-Systemen missbraucht werden könnte.
Die Sicherheitslücke wurde bekannt, nachdem ein unabhängiges Cybersecurity-Forschungsteam namens nao_sec ein Word-Dokument ("05-2022-0438.doc") entdeckt hatte, das von einer IP-Adresse in Weißrussland auf VirusTotal hochgeladen wurde.
"Es nutzt den externen Link von Word, um den HTML-Code zu laden, und verwendet dann das 'ms-msdt'-Schema, um PowerShell-Code auszuführen", so die Forscher in einer Reihe von Tweets letzte Woche.
Laut dem Sicherheitsforscher Kevin Beaumont, der die Sicherheitslücke "Follina" nannte, nutzt maldoc die Remote-Vorlagenfunktion von Word, um eine HTML-Datei von einem Server zu holen, der dann das URI-Schema "ms-msdt://" verwendet, um die schädliche Nutzlast auszuführen.
MSDT ist die Abkürzung für Microsoft Support Diagnostics Tool, ein Dienstprogramm, das zur Fehlersuche und zum Sammeln von Diagnosedaten verwendet wird, die dann von Support-Experten analysiert werden, um ein Problem zu lösen.
"Das erste Problem ist, dass Microsoft Word den Code über msdt (ein Support-Tool) ausführt, auch wenn Makros deaktiviert sind", erklärt Beaumont.
Die geschützte Ansicht wird zwar aktiviert, aber wenn Sie das Dokument in das RTF-Format ändern, wird der Code ausgeführt, ohne dass das Dokument überhaupt geöffnet wird (über die Vorschau-Registerkarte im Explorer), geschweige denn in der geschützten Ansicht.
Mehrere Microsoft Office-Versionen, darunter Office, Office 2016 und Office 2021, sollen betroffen sein, aber es wird erwartet, dass auch andere Versionen anfällig sind.
Darüber hinaus gelang es Richard Warren von der NCC Group, einen Exploit für Office Professional Pro mit April 2022 auf einem aktuellen Windows 11-Rechner mit aktiviertem Vorschaufenster zu demonstrieren.
"Microsoft muss diese Sicherheitslücke in allen seinen Produkten schließen, und die Sicherheitsanbieter brauchen eine zuverlässige Erkennung und Blockierung", so Beaumont.