Vielleicht haben Sie über die IT-Tagesmedien vereinzelt schon von den aktuellen Sicherheitslücken rund um das Windows Hilfecenter (oft in Verbindung mit MS Office genannt) „Follina“ und neuen Sicherheitslücken rund um die Windows Suche „SearchNightmare“ gelesen. Es handelt sich in beiden Fällen um sog. 0-Day-Exploits – also öffentlich bekannte Sicherheitslücken, gegen die es noch keine Updates gibt.
Wir wollen hier kurz den technischen Hintergrund und aktuelle Gegenmaßnahmen beschreiben. Bei weiteren Fragen, können Sie uns gern kontaktieren.
- „Follina“ / Windows Hilfecenter
Durch einen sog. „Protokoll-Handler“ kann das Windows Hilfecenter dazu gebracht werden, beliebigen Code mit Rechten des angemeldeten Benutzers aus unbekannten Quellen nachzuladen und auszuführen. Also eine sogenannte „Remote Code Execution (RCE)“.
Angreifer nutzen dazu derzeit in Kombination eine aktuelle MS Office-Sicherheitslücke, um diese RCE aus präparierten MS Office-Dokumenten auch dann auszuführen, wenn die Geschützte Ansicht in MS Office aktiviert ist. Es handelt sich hier nicht um Makros, sondern um sog. OLE-Objekte.
Die RCE kann jedoch auch durch beliebige andere Wege ausgelöst werden (RTF-Dokumente, Web-Links, eingebetteter Code in Websites, …), jedoch werden zur aktuellen Stunde vor allem MS Office-Dokumente dafür benutzt.
Es gibt derzeit weder Patches gegen die MS Office OLE-Lücke, noch das Missbrauchen des Protokoll-Handlers.
Wir empfehlen derzeit den empfohlenen Microsoft Workaround, indem der zuständigen Protokoll-Handler per Computer-GPO aus der Registry der Clients gelöscht wird. Der Link mit den aktuellen Microsoft Empfehlungen: https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
Zusätzlich sollten GPO-Einstellungen getroffen werden, um das Aufrufen des „Problembehebungsassistenten“ und des Hilfecenters vorübergehend zu blockieren. - „SearchNightmare“ / Windows Suche
Dieser Angriffsweg ist artverwandt zu „Follina“ und nutzt den Protokoll-Handler zum Aufrufen der Windows Suche. Dabei wird z.B. via URL / Link die Windows Suche mit einer extern gehosteten SMB-Dateifreigabe geöffnet. Der User soll dazu gebracht werden, aus diesem Fenster, welches sehr ähnlich zu einem normalen Explorer-Fenster aussieht, eine Datei zu öffnen.
Die Angreifer könnten diese Technik nutzen, um beispielsweise in Phishing-Mails den User dazu zu bringen, eine Datei aus diesem Fenster zu öffnen, um dubiose Updates zu installieren, die angeblich irgendwelche Probleme lösen. Der Unterschied zu „Follina“: Es findet keine RCE statt, sondern der User muss den Schadcode selbst ausführen.
Zwar könnte man ebenfalls den Protokoll-Handler zur Windows Suche entfernen, jedoch sind derzeit die möglichen Kollateralschäden unklar. Stattdessen sollte an allen Firewalls geprüft werden, ob der ausgehende Zugriff auf das Protokoll SMB über das Internet geblockt ist. Somit würde das Aufrufen der SMB-Freigabe nicht stattfinden.
Die Lage ist, wie es so schön heißt, sehr dynamisch und es gibt täglich neue Erkenntnisse. Es ist sehr wahrscheinlich, dass weitere Angriffsvektoren über andere Protokoll-Handler auftauchen werden. Admins sollten ihre User einmal mehr dafür sensibilisieren, wie klassische Phishing-Mails erkannt werden können.