Die als kritisch einzustufende Sicherheitslücke erlaubt das Einschleusen von Schadcode und dessen Ausführung. Angreifer können beliebige Aktionen im Kontext des Nutzers ausführen (sogenannte Remote code execution – kurz RCE). Konkret steht die Lücke im Zusammenhang mit dem „Microsoft Windows Support Diagnostic Tool“ kurz MSDT und wird unter CVE-2022-30190 gelistet.
Die Sicherheitslücke betrifft vor allem Office-Produkte, da sich darüber das automatische Nachladen des Schadcodes vergleichsweise einfach umsetzen lässt.
Es reicht ein infiziertes Office Dokument zu öffnen und – falls aktiv – die geschützte Ansicht zu verlassen.
Dateien im RTF-Format (*.rtf) triggern bereits in der Vorschau des Windows Explorer das Ausführen des Schadcodes.
Diese müssen dazu nicht geöffnet werden.
Stand heute (03.06.2022 – 21.00 Uhr) ist kein Patch veröffentlicht und Microsoft empfiehlt im Blog des Microsoft Security Response Center die Deaktivierung des MSDT-URL Protokolls als Workaround. Sollten Sie Microsoft Defender for Endpoint / Microsoft Defender Antivirus nutzen, wird eine Konfigurations-Prüfung / -Anpassung empfohlen.
Um das MSDT-URL Protokoll zu deaktivieren muss in der Windows Registry der Schlüssel ms-msdt entfernt werden:
| Entfernen des Registry-Schlüssels | Wiederherstellen des Registry-Schlüssels |
|---|---|
| 1. Eingabeaufforderung als Administrator öffnen | 1. Eingabeaufforderung als Administrator öffnen |
2. Registry-Schlüssel sichern: reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt-backup.reg | 2. Registry-Schlüssel wiederherstellen: reg import ms-msdt-backup.reg |
3. Registry-Schlüssel löschen: reg delete HKEY_CLASSES_ROOT\ms-msdt /f |
Dies verhindert das Ausführen des MSDT via Links durch MS Office.
Als Nebeneffekt ist auch die Ausführung von MSDT via Links im Betriebssystem deaktiviert.
Prüfe vor der Umsetzung dieser Maßnahme mögliche Nebeneffekte in Deiner Systemumgebung eingehend und erstelle Backups! In der Regel ist davon auszugehen, dass der zusätzliche Sicherheitsgewinn die möglichen Nebeneffekte überwiegt.
Einige Sicherheitsforscher haben die Zero-Day-Vulnerability im Detail analysiert. Darunter auch John Hammond, welcher einen PoC auf GitHub sowie ein Erklärungs-Video auf YouTube (engl.) veröffentlicht hat.
Fazit: Lade oder Öffne keine Dateien aus eMails oder dem Internet wenn Du den Ersteller / Absender nicht kennst. Auch bei bekannten Absendern solltest Du Dir vorab die Frage stellen, ob Du das Dokument an dieser Stelle erwartest. Dies ist wichtig, da Absender-Adressen gefälscht werden können (siehe auch eMail – Was ist SPF?).
Öffne nur Dokumente wenn Du diese als „sicher“ einstufst.
Solltest Du Dir unsicher sein, frage Deine IT (-Abteilung) lieber einmal mehr um Rat. In der Regel können Mitarbeitende in der IT relativ schnell erkennen ob es sich um eine seriöse oder unseriöse eMail handelt.
Selbstverständlich helfe ich Dir ebenfalls gerne weiter.
Melde Dich telefonisch, per eMail oder Kontaktformular um Beratung oder Unterstützung für Deine Cyber-Security zu erhalten.