Follina Zero-Day: Hacker nutzen Microsoft MSDT-Schwachstelle aus

Microsoft hat, nachdem das Security Response Center des Konzerns eine entdeckte Schwachstelle zunächst als irrelevant eingestuft hatte, die Haltung revidiert. Laut dem MSRC-Team handelt es sich um eine Zero-Day-Lücke. Das BSI meldet bereits, dass sie aktiv ausgenutzt wird. Der Fehler sitzt dabei in dem Microsoft Support Diagnostic Tool. Diese Zero-Day-Schwachstelle kann dazu genutzt werden, um durch den einfachen Start eines Word-Dokuments automatisch ein Suchfenster zu öffnen, in dem ferngesteuerte Malware ausgeführt werden kann. Entdeckt hatten das Sicherheitsforscher von Proofpoint. Sie meldeten die Sicherheitslücke unter CVE-2022-30190, umbeschrieben das Problem und tauften die Schwachstelle "Follina".

Das perfide dabei: Angreifer können eine entsprechend manipulierte Office-Datei übermitteln, die nicht einmal geöffnet werden muss, um die Schwachstelle auszunutzen - es genügt bereits, eine Vorschau-Version durch das Ansteuern mit der Maus aufzurufen. Das BSI warnt daher jetzt vor der Ausnutzung und empfiehlt dringend, einen von Microsoft veröffentlichten Leitfaden zur Abschwächung des Problems (den Leitfaden findet ihr am Ende des Beitrags) zu nutzen, bis es ein Update gibt.

Die Sicherheitslücke kann ausgenutzt werden, da Windows einen URI-Protokoll-Handler namens "search-ms" unterstützt, der es Anwendungen und HTML-Links ermöglicht, benutzerdefinierte Suchen auf einem Gerät zu starten. Während die meisten Windows-Suchen den Index des lokalen Geräts durchsuchen, ist es auch möglich, die Windows-Suche zu zwingen, Dateifreigaben auf entfernten Hosts abzufragen und einen benutzerdefinierten Titel für das Suchfenster zu verwenden.

Leitfaden für die Abschwächung

Betroffen sind laut den Sicherheitsforschern alle Versionen von Windows 7, Windows 10 und Windows 11. Microsoft veröffentlichte bereits einen Leitfaden für die Abschwächung der Sicherheitslücke im Microsoft Support Diagnostic Tool.

Microsoft schrieb:

Es besteht eine Sicherheitsanfälligkeit für Remotecodeausführung, wenn MSDT über das URL-Protokoll von einer Anwendung wie Word aufgerufen wird. Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen. Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem durch die Rechte des Benutzers erlaubten Kontext erstellen.

Abhilfemaßnahmen

So deaktivieren Sie das MSDT-URL-Protokoll:
Die Deaktivierung des MSDT-URL-Protokolls verhindert, dass Troubleshooter als Links gestartet werden, einschließlich Links im gesamten Betriebssystem. Auf Troubleshooter kann weiterhin über die Anwendung "Hilfe abrufen" und in den Systemeinstellungen als andere oder zusätzliche Troubleshooter zugegriffen werden. Führen Sie die folgenden Schritte zur Deaktivierung aus:

Führen Sie die Eingabeaufforderung als Administrator aus.
Um den Registrierungsschlüssel zu sichern, führen Sie den Befehl "reg export HKEY_CLASSES_ROOT\ms-msdt filename" aus
Führen Sie den Befehl "reg delete HKEY_CLASSES_ROOT\ms-msdt /f" aus.

In dem Blog-Beitrag erklärt das Team noch weitere Tipps, unter anderem auch für Kunden von Microsoft Defender for Endpoint.

Siehe auch:

Internet, Sicherheit, Sicherheitslücke, Hacker, Security, Angriff, Hack, Kriminalität, Trojaner, Virus, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hackerangriff, Hacking, Internetkriminalität, System, Hacker Angriffe, Hacker Angriff, Hacken, Attack, Hacks, Crime, Gehackt, Schädling, Hacked, System Hacked

Diese Nachricht empfehlen

Kommentieren1

Weitere Nachrichten zum Thema Windows-Patch fixt Follina-Schwachstelle, eine Zero-Day-Lücke bleibtJetzt offiziell: Microsoft bestätigt Aus für Support Diagnostic Tool 'MSDT'Microsoft: Nordkoreas Hackertruppe macht Freie Software zu WaffenDringend aktualisieren: Sicherheits-Warnung vor Edge-SicherheitslückenSiegel drauf: BSI vergibt IT-Sicherheitskennzeichen für Internet-RouterAMD-Patent zeigt automatisches Tool zur sicheren RAM-Übertaktung