Microsoft hat vergangenen Montag einen Zero-Day-Exploid gemeldet, der das Einschleusen von Schadcode auf den eigenen Windows-Rechner über Microsoft Word ermöglicht. Als Grund hierfür wird das Microsoft Windows Support Diagnostic Tool (MSDT) vermutet (CVE-2022-30190, CVSS 7.8, Risiko „hoch“).

Es besteht eine Sicherheitsanfälligkeit für Remotecodeausführung, wenn MSDT über das URL-Protokoll von einer aufrufenden Anwendung wie Word aufgerufen wird. Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen. Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem durch die Rechte des Benutzers erlaubten Kontext erstellen.

Im MSRC-Blog-Eintrag finden Sie wichtige Informationen über Maßnahmen, die Sie ergreifen können, um Ihr System vor dieser Sicherheitslücke zu schützen.

CVE-2022-30190 – Security Update Guide – Microsoft – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability

Im dazugehörigen Eintrag im Microsoft Security Response Center wird erläutert, wie man dieses Problem kurzfristig mit einem Workaround beheben kann.

So deaktivieren Sie das MSDT-URL-Protokoll

Die Deaktivierung des MSDT-URL-Protokolls verhindert, dass Troubleshooter als Links gestartet werden, einschließlich Links im gesamten Betriebssystem. Auf Troubleshooter kann weiterhin über die Anwendung „Hilfe abrufen“ und in den Systemeinstellungen als andere oder zusätzliche Troubleshooter zugegriffen werden. Führen Sie die folgenden Schritte zur Deaktivierung aus:

Führen Sie die Eingabeaufforderung als Administrator aus.
Um den Registrierungsschlüssel zu sichern, führen Sie den Befehl „reg export HKEY_CLASSES_ROOT\ms-msdt <filename>“ aus
Führen Sie den Befehl „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“ aus.

Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability – Microsoft Security Response Center

So machen Sie die Umgehung rückgängig

Führen Sie die Eingabeaufforderung als Administrator aus.
Um den Registrierungsschlüssel zu sichern, führen Sie den Befehl „reg import <filename>“ aus

Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability – Microsoft Security Response Center

Außerdem wird noch eine Lösung auf Admin-Ebene vorgeschlagen:

Microsoft Defender-Erkennungen und Schutzmaßnahmen

Kunden mit Microsoft Defender Antivirus sollten den Schutz aus der Cloud und die automatische Übermittlung von Proben aktivieren. Diese Funktionen nutzen künstliche Intelligenz und maschinelles Lernen, um neue und unbekannte Bedrohungen schnell zu erkennen und zu stoppen.

Kunden von Microsoft Defender for Endpoint können die Regel „BlockOfficeCreateProcessRule“ zur Reduzierung der Angriffsfläche aktivieren, die verhindert, dass Office-Anwendungen untergeordnete Prozesse erstellen. Die Erstellung bösartiger untergeordneter Prozesse ist eine gängige Malware-Strategie. Weitere Informationen finden Sie unter Übersicht über Regeln zur Reduzierung der Angriffsfläche.

Microsoft Defender Antivirus bietet Erkennungen und Schutz für die mögliche Ausnutzung von Sicherheitslücken unter den folgenden Signaturen mit Erkennungs-Build 1.367.719.0 oder neuer:

Trojan:Win32/Mesdetty.A 
Trojaner:Win32/Mesdetty.B 
Verhalten:Win32/MesdettyLaunch.A
Verhalten:Win32/MesdettyLaunch.B
Verhalten:Win32/MesdettyLaunch.C 

Microsoft Defender für Endpoint bietet Kunden Erkennungen und Warnungen. Die folgenden Warnmeldungen im Microsoft 365 Defender-Portal können auf Bedrohungsaktivitäten in Ihrem Netzwerk hinweisen:

– Verdächtiges Verhalten einer Office-Anwendung
– Verdächtiges Verhalten von Msdt.exe

Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability – Microsoft Security Response Center
Kategorien: Security

0 Kommentare

Schreibe einen Kommentar

Avatar-Platzhalter

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert