Am 30.05.2022 veröffentlichte Microsoft Details und Mitigationsmaßnahmen zu einer Schwachstelle in Microsofts Support Diagnostic Tool (MSDT) über das Microsoft Security Response Center (siehe [MIC2022a]). Der Schwachstelle wurde die Common Vulnerabilities and Exposures (CVE)-Nummer CVE-2022-30190 zugewiesen. Nach dem Common Vulnerability Scoring System (CVSS) wird der Schweregrad der Sicherheitslücken auf 7.8 eingestuft (CVSSv3.1) (siehe [MIC2022b]).
Die Schwachstelle kann mithilfe einer präparierten Word-Datei ausgenutzt werden, wodurch Angreifende womöglich in die Lage versetzt werden, auf Basis der im Dokumentenverarbeitungsprogramm enthaltenen Remote Template-Funktion den Download einer HTML-Datei aus dem Internet anzustoßen. Dies kann zur weiteren Ausführung von PowerShell-Code missbraucht werden, wodurch Angreifende Programme installieren, Daten anzeigen, ändern oder löschen könnten.
Erkenntnisse der Sicherheitsforschenden von nao_sec, die bei VirusTotal eine hochgeladene und entsprechend präparierte Word-Datei entdeckt hatten, unterstreichen nun, dass eine aktive Ausnutzung der Schwachstelle stattfindet (siehe [TWI2022]). In der Datei fand sich ebenfalls das Muster 0438, was der Vorwahl des italienischen Ortes Follina entspricht, weshalb die Schwachstelle inzwischen ebenfalls unter diesem Namen diskutiert wird.
Betroffen sind nach bisher gesichteten Medienberichten (siehe [DOUB2022]):
- Office 2013, 2016, 2019, 2021,
- Office Pro Plus und
- Office 365
Bewertung
Aufgrund der großen Verbreitung stellt die Microsoft Office Produktpalette ein attraktives Ziel für Cyber-Angriffe dar. Gleichzeitig erhöhen das Fehlen eines Patches und immer neue Vorgehensweisen beim Social Engineering die Gefahr, Opfer eines Angriffs zu werden.
Wegen der Popularität der Schwachstelle und den bereits veröffentlichten Exploits ist eine kurzfristige, großflächige Ausnutzung der Schwachstelle nicht auszuschließen.
Das Risiko eines Angriffs überwiegt dabei gegenüber dem Risiko, dass durch die Deaktivierung des MSDT-URL- Protokollhandlers Fehlerbehebungen nicht als Links gestartet werden können.
Maßnahmen
Das BSI empfiehlt dringend, bis zur Bereitstellung eines Patches durch den Hersteller die Umsetzung der genannten Workarounds zu prüfen.
Microsoft rät in seinem Blogbeitrag dazu, den MSDT-URL-Protokollhandler zu deaktivieren (siehe [MIC2022a]). Hiermit gehen jedoch auch Beeinträchtigungen der Problemlösungskomponente einher. Die Deaktivierung des MSDT-URL- Protokollhandlers kann in drei Schritten vorgenommen werden:
- Eingabeaufforderung als Administrator ausführen.
- Optional: Durch Eingabe von reg export HKEY_CLASSES_ROOT\ms-msdt <filename> kann der aktuelle Registry-Key für ein späteres Wiederherstellen der Ursprungskonfiguration in <filename> gespeichert werden.
- Abschließend durch Eingabe von reg delete HKEY_CLASSES_ROOT\ms-msdt /f den entsprechenden Registry-Key löschen.
Erste Hilfe benötigt?
Das Team von MEGASICHER bildet als moderner Dienstleister die Schnittstelle zwischen IT-Administration und Geschäftsführung durch die technische Unterstützung bei der Schwachstellenanalyse und der Absicherung von Unternehmen und Führungskräften gegen Schäden von innen & außen sowie der Absicherung des Rest-Risikos durch individuelle Versicherungslösungen.Erfahren Sie mehr darüber, wie wir Sie bei der hierbei unterstützen und Sie damit langfristig schützen können. |