Der Vorfall
Ende Mai 2022 entdeckte der Sicherheitsforscher Kevin Beaumont ein Word-Dokument, das aus Belarus auf VirusTotal hochgeladen worden war und eine bis dahin unbekannte Angriffstechnik nutzte. Die Schwachstelle erhielt die Kennung CVE-2022-30190 und den Namen Follina – benannt nach der Vorwahl 0652 der italienischen Stadt Follina, die im Exploit-Code vorkam.
Follina nutzte das Microsoft Support Diagnostic Tool (MSDT) aus, ein Windows-Systemwerkzeug zur Fehlerbehebung. Das Besondere: Der Angriff funktionierte über Word-Dokumente, erforderte aber keine Makros. Jahrelang hatten Organisationen ihren Mitarbeitern eingebleut, keine Makros in Office-Dokumenten zu aktivieren. Follina umging diesen Schutz vollständig. In manchen Konfigurationen genügte es sogar, das Dokument im Windows-Explorer mit der Vorschaufunktion anzusehen – ohne es zu öffnen.
Betroffen waren Microsoft Office 2013, 2016, 2019, 2021 und Microsoft 365 auf allen unterstützten Windows-Versionen. Microsoft bestätigte die Schwachstelle am 30. Mai 2022, stellte aber erst am 14. Juni 2022 – zwei Wochen später – einen Patch bereit. In dieser Zeit wurde die Schwachstelle aktiv ausgenutzt.
Mehrere Angreifergruppen nutzten Follina in freier Wildbahn: Die chinesische APT-Gruppe TA413 griff damit tibetische Exilorganisationen an. Russische Akteure nutzten Follina in Phishing-Kampagnen gegen ukrainische Regierungsstellen während des russisch-ukrainischen Krieges. Die Ransomware-Gruppe Qakbot integrierte Follina in ihre Infektionsketten. Auch die Hackergruppe TA570 verteilte den Emotet-Trojaner über Follina-Dokumente.
Wie der Angriff funktionierte
Follina war ein eleganter mehrstufiger Angriff, der ausschließlich Windows-Bordmittel nutzte:
Stufe 1 – Zustellung des Dokuments: Das Opfer erhielt ein Word-Dokument per E-Mail, als Download von einer Website oder über einen Messenger. Das Dokument enthielt keine Makros – es bestand die Warnung „Makros deaktiviert" also nicht, und der Schutz „Geschützte Ansicht" wurde in vielen Szenarien nicht ausgelöst.
Stufe 2 – Nachladen über OLE-Verknüpfung: Das Word-Dokument enthielt eine OLE-Verknüpfung (Object Linking and Embedding) zu einer externen HTML-Datei auf einem Server des Angreifers. Beim Öffnen des Dokuments lud Word diese HTML-Datei automatisch nach.
Stufe 3 – Aufruf von MSDT: Die HTML-Datei enthielt einen speziellen ms-msdt:-Protokollhandler, der das Microsoft Support Diagnostic Tool aufrief. Über manipulierte Parameter wurde MSDT angewiesen, PowerShell-Code auszuführen. Dies geschah ohne Benutzerinteraktion – kein Klick auf „Zulassen", kein Aktivieren von Makros.
Stufe 4 – PowerShell-Ausführung: Der über MSDT ausgeführte PowerShell-Code lud die eigentliche Schadsoftware nach. Typische Payloads waren Cobalt Strike Beacons, der Qakbot-Trojaner, der Info-Stealer Redline oder Ransomware-Loader. Der PowerShell-Code lief im Kontext des angemeldeten Benutzers, hatte aber durch die MSDT-Schwachstelle oft erhöhte Rechte.
Stufe 5 – Installation und Persistenz: Die nachgeladene Malware installierte sich im System, legte Persistenz-Mechanismen an (Registry-Einträge, Scheduled Tasks, manipulierte Verknüpfungen) und begann mit ihrer eigentlichen Aufgabe: Daten stehlen, den Rechner für Remote-Zugriff öffnen oder die Grundlage für einen Ransomware-Angriff legen.
Stufe 6 – Weitere Verbreitung: In Unternehmensumgebungen nutzten Angreifer den kompromittierten Rechner als Ausgangspunkt, um über das interne Netzwerk weitere Systeme anzugreifen, Zugangsdaten zu sammeln und Domain Controller zu kompromittieren.
Warum Virenscanner versagten
Follina stellte Sicherheitssoftware vor ein fundamentales Problem:
Das Word-Dokument selbst enthielt keinen Schadcode – nur eine Verknüpfung zu einer externen Ressource. Viele Virenscanner analysierten den Inhalt des Dokuments und fanden nichts Verdächtiges, weil der eigentliche Exploit extern gehostet war. Statische Analyse konnte den Angriff nicht erkennen.
Der Exploit nutzte ausschließlich legitime Windows-Komponenten: Word, MSDT und PowerShell. Kein einziges dieser Programme ist Malware. Die Angriffskette bestand aus einer Reihe von Aktionen, die jede für sich betrachtet normal waren. Erst die Kombination – und die Absicht dahinter – machte sie bösartig. Verhaltensbasierte Erkennung musste erst lernen, diese spezifische Kombination zu identifizieren.
Dass Microsoft zwei Wochen brauchte, um einen Patch bereitzustellen, verschärfte die Situation. In dieser Zeit war die Schwachstelle öffentlich bekannt, funktionierende Exploits waren frei verfügbar, und Virenscanner-Hersteller kämpften damit, zuverlässige Erkennungsregeln zu entwickeln, ohne dabei zu viele Fehlalarme auszulösen.
Besonders perfide: Viele Organisationen hatten nach Jahren der Sensibilisierung gerade erst ihre Mitarbeiter dazu gebracht, bei Makro-Warnungen „Nein" zu klicken. Follina umging diese hart erkämpfte Verteidigung vollständig, weil keine Makro-Warnung erschien.
So hätte Deep Freeze geschützt
Follina ist ein Paradebeispiel für einen Angriff, bei dem Deep Freeze seine Stärke voll ausspielt:
Nachgeladene Payloads verschwinden beim Neustart: Der Follina-Exploit selbst war eine Kette aus Dokumentenaufruf, HTML-Nachladen und PowerShell-Ausführung. Aber das Ergebnis – die auf der Systempartition installierte Malware – wurde als Datei gespeichert. Auf einem eingefrorenen System wird diese Datei beim nächsten Reboot gelöscht, als hätte es sie nie gegeben.
Persistenz-Mechanismen werden neutralisiert: Egal ob Registry-Einträge, Scheduled Tasks oder manipulierte Verknüpfungen – alle Methoden, die der Malware das Überleben eines Neustarts sichern sollten, werden auf einer eingefrorenen Systempartition beim Reboot rückgängig gemacht.
Die Makro-Frage wird irrelevant: Follina bewies, dass „Makros deaktivieren" kein ausreichender Schutz ist. Deep Freeze macht die gesamte Diskussion überflüssig: Es spielt keine Rolle, über welchen Mechanismus die Malware auf das System gelangt – ob über Makros, OLE-Verknüpfungen, MSDT oder jede andere noch unentdeckte Technik. Alles wird beim Neustart entfernt.
Zwei Wochen ohne Patch – kein Problem: Die 14 Tage zwischen Bekanntwerden der Schwachstelle und Microsofts Patch waren für ungepatchte Systeme eine akute Gefahrenzeit. Auf eingefrorenen Systemen hätten selbst erfolgreiche Angriffe nur bis zum nächsten Neustart gewirkt.
Die Vorschau-Schwachstelle wird entschärft: In manchen Konfigurationen reichte die Windows-Explorer-Vorschau eines Dokuments, um den Exploit auszulösen. Selbst in diesem extremen Szenario – bei dem der Nutzer die Datei nicht einmal öffnete – hätte Deep Freeze die Folgen beim nächsten Reboot beseitigt.
Die Lehre
- Makros deaktivieren reicht nicht. Follina bewies, dass Office-Angriffe auch ohne Makros funktionieren. Dein Sicherheitskonzept darf sich nicht auf einen einzelnen Schutzmechanismus verlassen. Deep Freeze bietet eine Schutzschicht, die unabhängig vom Angriffsvektor wirkt.
- Windows-Bordmittel sind Angriffswerkzeuge. MSDT, PowerShell, Word – der gesamte Angriff nutzte nur Programme, die bereits auf Deinem System installiert sind. Ein Virenscanner kann diese Programme nicht blockieren, ohne den normalen Betrieb zu stören. Deep Freeze muss sie nicht blockieren – es setzt einfach zurück.
- Null Klicks, maximaler Schaden. In manchen Konfigurationen genügte das bloße Anzeigen der Dateivorschau. Kein noch so gut geschulter Mitarbeiter hätte diesen Angriff verhindern können. Deep Freeze ist kein Training, sondern ein automatischer Schutzmechanismus.
- Die Zeit zwischen Zero-Day und Patch ist die gefährlichste Phase. 14 Tage, in denen ein funktionierender Exploit im Internet kursierte und kein Patch verfügbar war. Eine eingefrorene Systempartition ist der einzige Schutz, der in dieser Phase zuverlässig wirkt.
- Phishing wird raffinierter, Deep Freeze bleibt konstant. Egal welche neue Technik Angreifer entwickeln, um Malware auf Dein System zu bringen – solange das System bei jedem Neustart in den Originalzustand zurückkehrt, bleibt der Schutz wirksam.