![[Blog] Follina](/sites/default/files/styles/2_1_desktop_responsive_slider/public/2022-06/iStock-1211973525_verkleinert.webp?itok=NZmHR_CX)
Microsoft Sicherheitslücke „Follina“: Voller PC-Zugriff durch eingeschleuste Office-Dokumente möglich
Die seit Ende Mai 2022 bekannte Sicherheitslücke „Follina“ lässt weiterhin PC-Angriffe über das Microsoft Support Diagnostics Tool zu. Besonders betroffen seien davon vor allem Microsoft Windows Server 2019 sowie Windows 10 ab Version 1809, so Hersteller Microsoft. Grundsätzlich könnten jedoch sämtliche Office-Versionen angegriffen werden. Es werde aktuell an einer Problemlösung gearbeitet, diese wurde von Microsoft für den Juni-Updatezyklus angekündigt. Bis zur finalen Schwachstellen-Schließung helfen geeignete Anti-Viren-Lösungen oder noch besser: Die Deaktivierung des Microsoft Support Diagnostics Tools.
Programme installieren, auf Dateien zugreifen, Daten ausspähen: Der Schaden, den Hacker durch die „Follina“-Sicherheitslücke (CVE-2022-30190) anrichten können, ist immens – ihr Aufwand hingegen bedeutend gering. Bekannt ist bislang, dass ein im Netz kursierendes Word-Dokument für die Schwachstelle, das am Microsoft Support Diagnostics Tool-Protokoll ansetzt, verantwortlich ist. Dabei nutzt das Word-Dokument nach dem Öffnen die Word-Remotevorlagen-Funktion, um eine HTML-Datei von einem Webserver im Internet abzurufen. Durch die Ausführung wird das Microsoft Support Diagnostics Tool missbraucht, um Schadcode einzuschleusen; auch die Anwendung von PowerShell-Kommandos ist damit möglich. Kurzum: Die Hacker erlangen vollen Zugriff auf alle Systeme, Dokumente, Programme und schließlich auch auf Ihre Daten.
Wie kann ich mein Unternehmen schützen?
Die Makroausführung zu deaktivieren und für externe Dokumente standardmäßig die geschützte Ansicht zu verwenden, ist zwar ein wichtiger erster Schritt, für einen vollständigen Schutz des Computers vor dem „Follina“-Angriff jedoch unzureichend: Selbst das Laden einer Vorschau im Windows Datei-Explorer kann bereits für die Aktivierung des Schadcodes ausreichen. Einige Anti-Viren-Lösungen, darunter auch der Defender und Sophos, können den Angriff mittlerweile erkennen und unterbinden. Um der Malware jedoch so wenig Angriffsfläche wie möglich zu bieten, empfiehlt es sich, das Microsoft Support Diagnostics Tool temporär zu deaktivieren, bis die Schwachstelle durch den Hersteller geschlossen ist.
Sie haben Fragen zu dem Thema oder benötigen Unterstützung bei Ihrer IT-Security?
Nehmen Sie jetzt Kontakt zu unseren Expert:innen auf, wir stehen Ihnen zur Seite.
Autorin: Janina Hartschwager, Marketing
