Windows-Zero-Day-Lücke wird für Angriffe auf Regierungen ausgenutzt

Nadine Dressler, 06.06.2022 18:41 Uhr 9 Kommentare
Noch unbekannte Angreifer nutzen jetzt eine neue Windows-Schwachstelle aus, die als "Follina" bekannt geworden ist. Bisher gibt es von Microsoft keinen Patch, was das Sicherheitsproblem derzeit fast unkalkulierbar macht. Das meldet das Online-Magazin Bleeping Computer. Europäische Regierungen und US-Kommunalverwaltungen waren das Ziel einer Phishing-Kampagne, bei der bösartige RTF-Dokumente (Rich Text Format) verwendet wurden, um eine kritische Windows-Zero-Day-Schwachstelle namens Follina auszunutzen. Schon vor ein paar Tagen berichteten wir über die Zero-Day-Schwachstelle, von der Microsoft bereits vermutete, dass die aktiv ausgenutzt wird. Jetzt gibt es Gewissheit.

Das sind die erfolgreichsten Betreff-Zeilen beim Phishing
Infografik: Das sind die erfolgreichsten Betreff-Zeilen beim Phishing

Proofpoint entdeckte Angriffe auf Regierungen

Angreifer versuchen dabei, mit Phishing-Attacken manipulierte Word-Dokumente zu verbreiten, und die Schwachstelle auszunutzen. In mehreren Fällen scheint das schon geglückt zu sein, von einigen "Beinahe"-Übernahmen berichtet jetzt das Sicherheitsunternehmen Proofpoint.

"Proofpoint hat eine mutmaßlich auf den Staat ausgerichtete Phishing-Kampagne blockiert, die auf weniger als 10 Proofpoint-Kunden (europäische Regierung und lokale US-Regierung) abzielte und versuchte, Follina/CVE_2022_30190 auszunutzen", so die Sicherheitsforscher der Sicherheitsfirma.

Die Angreifer köderten die Mitarbeiter mit besseren Jobs, mit Gehaltserhöhungen und ähnlichem, damit ihre manipulierten Dokumente geöffnet oder zumindest geladen werden. Bei Follina reicht es schon, wenn man eine Vorschau des Dokuments angezeigt bekommt, um dem Angreifer Zugriff zu gewähren. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann beliebiger Code mit den Rechten der aufrufenden Anwendung ausgeführt werden, um Programme zu installieren, Daten anzuzeigen, zu ändern oder zu löschen oder neue Windows-Konten zu erstellen.

Die Hacker stehlen dann Passwörter aus Browsern, sowie Daten aus Anwendungen wie Mozilla Thunderbird, Windows Live Mail, WeChat, Microsoft Office, und vielen mehr.

Die Sicherheitslücke, die bei diesen Angriffen ausgenutzt wird, wird als CVE-2022-30190 geführt und wurde von Redmond als Fehler im Microsoft Windows Support Diagnostic Tool (MSDT) zur Remotecodeausführung beschrieben. Betroffen sind alle Windows-Versionen, die noch Sicherheitsupdates erhalten.

Siehe auch:
9 Kommentare lesen & antworten
Folge WinFuture auf Google News
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies