Support: +49 (0)209 38642-22        Supportfall melden

MSDT-Sicherheitslücke wird ausgenutzt

 

Ende Mai bekannt gewordene Zero-Day-Lücke von Microsoft (Follina) wird inzwischen bereits für Angriffe missbraucht.

Von mangelnder Abwechslung im Sicherheitsbereich kann man wohl aktuell nicht sprechen: Eine bereits vor längerer Zeit aufgefallene Sicherheitslücke, die aber als nicht relevant eingestuft wurde, ermöglicht ein Angriffsszenario, welches beispielsweise schon durch die Vorschau von Word-Dokumenten - vorbei an allen Sicherheitsmaßnahmen des Microsoft Office Paketes und des Virenscanners - Schadcode auf den Computer schleusen kann.

Die beschriebene Schwachstelle lässt sich mit RTF-Dateien in allen Versionen von Office 365 ausnutzen. Die Sicherheitslücke wurde in Office 2013, 2016, 2019, 2021, Office ProPlus und Office 365 nachgewiesen. Sie gilt auch für Windows selbst, z. B. kann sie von .lnk-Dateien aufgerufen werden.

Wir hatten aus diesem Anlass bereits Anfang der Woche auf die allgemeinen Regeln zum Umgang mit E-Mailanhängen verwiesen (Vertrauen ist gut...).

Nun wird diese Sicherheitslücke wohl aktiv ausgenutzt und man sollte zumindest über einen Schutz seiner Infrastruktur nachdenken.

Den eigentlichen Schaden richtet das MSDT-Software-Toolkit von Microsoft an. MSDT ist die Abkürzung für Microsoft Support Diagnostic Tool. Durch die Sicherheitslücke wird dieses Windows-Tool zum Ausführen von beliebigem Programmcode missbraucht.

Microsoft empfiehlt aktuell als Gegenmaßnahme den Protokollhandler für ms-msdt: vorerst zu entfernen. Microsoft hat dazu die folgende Anleitung bereitgestellt:

  • Administrative Eingabeaufforderung öffnen.
  • Mit reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname> den bisherigen Registry-Schlüssel in die Datei <Dateiname> sichern.
  • Mit reg delete HKEY_CLASSES_ROOT\ms-msdt /f den betreffenden Schlüssel löschen.

Den gelöschten Schlüssel kann man bei Bedarf mit reg import <Dateiname> in einer administrativen Eingabeaufforderung Wiederherstellen.

 

Weiterführende Informationen beim Hersteller Microsoft:

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/

Information des BSI zur Schwachstelle [PDF]:

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2022/2022-224508-1032.pdf

SOPHOS informiert hier ausführlich über die Lücke:

https://news.sophos.com/de-de/2022/05/31/remote-und-ohne-makros-zum-hackerglueck-zero-day-luecke-follina-in-ms-office/

 

Hintergrund:

Der Name Follina für die Schwachstelle leitet sich aus einem Muster 0438 in der Datei ab,  was der Vorwahl von Follina in Italien entspricht.

Das über das Protokoll ms-msdt aufgerufene Tool msdt.exe (Microsoft Support Diagnostics Utility) ermöglicht dem Microsoft Support bestimmte Probleme zu untersuchen.