Wie seit Montag bekannt ist, kann eine bislang ungepatchte Schwachstelle in Microsoft Office in Kombination mit dem Microsoft Diagnostics Tool (MSDT) ausgenutzt werden, um auf Windows PCs unerwünschte Software auszuführen. Dafür reicht schon die Hover-Vorschau einer heruntergeladenen Datei aus. Die Datei muss vom Benutzer nicht aktiv geöffnet werden!
Das Sicherheitsunternehmen Huntress geht in der Analyse davon aus, dass die "Follina" genannte Zero-Day Sicherheitslücke (CVE202230190), in den nächsten Tagen in größerem Umfang ausgenutzt wird. Die Schwachstelle ermöglicht Remote Code Execution (RCE), wenn MSDT von einer Anwendung wie Word unter Verwendung des URL-Protokolls aufgerufen wird. Laut Microsoft könnte ein Angreifer, der diese Schwachstelle ausnutzt, beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen. Sie müssen keine Makros aktivieren oder Office-Programme öffnen.
Ein Angreifer könnte in dem von den Rechten des Benutzers erlaubten Kontext ein Programm installieren, einsehen, ändern, Daten löschen oder ein neues Konto erstellen“, erklärt Microsoft.
Microsoft empfiehlt die Deaktivierung des MSDT-URL-Protokollhandlers. Dadurch können die MS Problemlösungskomponenten nicht mehr über einen Link gestartet werden. Sollten Sie dennoch auf diese Tools zurückgreifen müssen, können sie manuell aus der App "Hilfe erhalten" oder aus den Systemeinstellungen gestartet werden
Workaround:
1. CMD.exe als Administrator ausführen
2. Aktuellen Registry Eintrag sichern: "reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname>"
3. Registry Key löschen: "reg delete HKEY_CLASSES_ROOT\ms-msdt /f"
Sobald ein Patch seitens Microsoft verfügbar ist, kann die Funktion durch Wiedereinspielen des Regitsry Keys wiederhergestellt werden: "reg import <Dateiname>"
Auf den von uns betreuten Systemen wurde der Workaround bereits eingespielt - Es ist daher keine weitere Benutzeraktion nötig.
Keine Lust mehr solche Dinge zu lesen?
Wir kümmern uns zuverlässig um die Betreuung Ihrer Systeme