Follina wird von staatlich gesponserten Hackern ausgenutzt

  • Ein von der Regierung gesponserter Angreifer hat versucht, eine Microsoft-Schwachstelle auszunutzen, um Regierungsziele in den USA und der EU anzugreifen.

    Forscher haben die Liste der Angreifer, die versuchen, Microsofts inzwischen gepatchte Follina-Schwachstelle auszunutzen, um staatlich finanzierte Hacker erweitert. Laut den Forschern von Proofpoint haben staatlich gesponserte Hacker versucht, die Follina-Schwachstelle in Microsoft Office auszunutzen, indem sie über Phishing-Kampagnen einen E-Mail-basierten Angriff auf Regierungsziele in den USA und der EU starteten.

    Die Forscher von Proofpoint haben die Angriffe entdeckt und vermuten, dass die Angreifer mit einer Regierung in Verbindung stehen, die sie jedoch nicht identifiziert haben. Die Angriffe bestehen aus Kampagnen, die auf die Opfer, Mitarbeiter der amerikanischen und europäischen Regierung, abzielen. Die bösartigen E-Mails enthalten gefälschte Einstellungsangebote, die eine Gehaltserhöhung von 20 Prozent versprechen, und verleiten die Empfänger dazu, einen Anhang herunterzuladen.

    Der Text lautet: „Sie erhalten eine [20%]sic Gehaltserhöhung“. In der Nachricht werden die Empfänger aufgefordert, ein angehängtes Dokument „vor diesem Wochenende“ zu öffnen, um mehr zu erfahren.

    In einer Erklärung auf Twitter sagte Sherrod DeGrippo, Vice President of Threat Research bei Proofpoint, dass etwa 10 Proofpoint-Kunden über 1.000 solcher Nachrichten erhalten hätten.

    Der bösartige Anhang zielt auf den Fehler CVE-2022-30190 zur Ausführung von Remotecode ab, der auch als Follina bezeichnet wird.

    Die im letzten Monat entdeckte Schwachstelle nutzt das Microsoft Windows Support Diagnostic Tool aus. Wie Microsoft in einem Blog-Beitrag erklärte, tritt der Fehler auf, „wenn MSDT über das URL-Protokoll von einer aufrufenden Anwendung wie Word aufgerufen wird. Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen.“

    Der staatlich geförderte Missbrauch der Schwachstelle ist nur der jüngste in einer Reihe von Angriffen im Zusammenhang mit Follina.

    Wenn sie erfolgreich ausgenutzt wird, können Angreifer die Follina-Schwachstelle nutzen, um Programme zu installieren, Daten einzusehen, zu ändern oder zu löschen oder neue Konten in dem durch die Rechte des Benutzers erlaubten Kontext zu erstellen, so das Unternehmen.

    „Es besteht eine Sicherheitslücke bei der Remotecodeausführung, wenn MSDT über das URL-Protokoll von einer aufrufenden Anwendung wie Word aufgerufen wird“, erklärte Microsoft in seiner Anleitung im Microsoft Security Response Center. „Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen.“

    Microsofts Workaround kommt etwa sechs Wochen, nachdem die Schwachstelle offenbar erstmals entdeckt wurde. Forscher der Shadow Chaser Group hatten die Schwachstelle am 12. April entdeckt und im Mai von Microsoft gepatcht.

    Proofpoint sagt, dass die bösartige Datei, die in den Phishing-Kampagnen zur Anwerbung von Mitarbeitern verwendet wird, nach dem Herunterladen ein Skript ausführt, das letztlich nach einer virtualisierten Umgebung sucht, um diese zu missbrauchen und „Informationen von lokalen Browsern, Mail-Clients und Dateidiensten zu stehlen, eine Maschinenerkundung durchzuführen und sie dann zum Exfiltrieren zu zippen“.

    Proofpoint erklärte in einem Tweet: „Die umfangreiche Erkundung, die von [a] zweiten Powershell-Skript durchgeführte umfangreiche Erkundung zeigte, dass ein Akteur an einer Vielzahl von Software auf dem Computer eines Ziels interessiert ist.“ Es ist dieses Verhalten, das Bedenken aufkommen ließ, dass die Kampagne Verbindungen zu einem „staatlich ausgerichteten Nexus“ hatte, so die Forscher.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com