Schwachstelle in Microsoft-Diagnosetool macht Windows-Systeme angreifbar
Eine Sicherheitslücke im Microsoft Support Diagnostic Tool ermöglicht Angreifern, beliebigen Programmcode auf Windows-Systemen auszuführen. Kriminelle können einen Angriff etwa über Word-Dokumente starten. Eine Änderung in der Windows-Registry entschärft das Problem.
Eine kürzlich entdeckte Sicherheitslücke gefährdet Computer mit dem Microsoft-Betriebssystem Windows. Die Schwachstelle im Microsoft Support Diagnostic Tool (MSDT) werde bereits von Kriminellen ausgenutzt, warnen nicht nur Microsoft, sondern etwa auch die US-amerikanische Behörde für Cybersicherheit (CISA).
Über die auf den Namen "Follina" getaufte Schwachstelle mit der CVE-Nummer 2022-30190 könnte ein Angreifer aus der Ferne die Steuerung des Computers kapern, heisst es bei CISA. Microsoft erklärt, dass eine Attacke zum Beispiel über ein präpariertes Word-Dokument erfolgen kann. Darin wird das Diagnose-Tool über das URL-Protokoll "MSDT" aufgerufen. Gelinge der Angriff, könne der Angreifer "beliebigen Code mit den Rechten der aufrufenden Applikation ausführen".
Registry-Hack als Workaround
Noch gibt es keine Sicherheits-Updates zur Behebung der Schwachstelle. Systemadministratoren empfiehlt Microsoft, vorübergehend das URL-Protokoll "MSDT"zu deaktivieren. Dies geschieht, indem der entsprechende Schlüssel aus der Windows-Registry entfernt wird. Die Anweisungen laut Microsoft lauten:
Starten Sie eine Eingabeaufforderung mit Administratorrechten.
Sichern Sie den zu löschenden Registry-Schlüssel in eine Datei ab mit dem Befehl:
reg export HKEY_CLASSES_ROOT\ms-msdt Dateiname
Wobei "Dateiname" der beliebig wählbare Name der Datei ist, in die der Schlüssel gesichert wird.Dann löschen Sie den Schlüssel:
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Der Workaround hat laut Microsoft einen Nachteil. Ist das MSDT-URL-Protokoll deaktiviert, können die Windows-Problembehebungsassistenten nicht mehr via Link aufgerufen werden. Solche Links gibt es laut Microsoft an vielen Stellen in Windows. Nach dem beschriebenen Registry-Hack lassen sich die Assistenten noch via "Hilfe Erhalten" oder in der "Systemsteuerung" aufrufen, merkt das Unternehmen an.
Hat Microsoft die Sicherheitslücke mittels Update geschlossen, lässt sich der Workaround rückgängig machen. Dazu ist eine Eingabeaufforderung mit Administratorrechten aufzurufen und der Befehl:
reg import Dateiname
auszuführen, wobei "Dateiname" jenem entsprechen muss, den Sie in der ersten Anleitung gewählt haben.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
SwissICT und Swico aktualisieren ICT-Modellverträge
Update: OpenAI präsentiert ersten Inferenz-Chip für KI-Modelle
IBM treibt Chipfertigung unter 1 Nanometer voran
TD Synnex baut Angebot an Dell-Services aus
So macht die Schweizer IT-Distribution Herausforderungen zu Chancen
Wie KI die Spielregeln der Cybersicherheit verändert
Xebia ordnet Regionen neu und verliert DACH-Chef
"Star Wars" mit winzigem Budget
MTF Solutions übernimmt IT-Dienstleister Insysta
