Aktuell braut sich in Windows ein massives Sicherheitsproblem zusammen. Das BSI hat darum jetzt die Bedrohungslage auf Stufe 3 erhöht. Einen Patch gibt es von Microsoft noch nicht, aber Tipps, um das Risiko zu senken.
Wir hatten schon darüber berichtet, eine Sicherheitslücke in allen aktuellen Windows-Versionen bringt derzeit Millionen Nutzer in Gefahr. Als Einfallstor wird eine manipulierte Word-Datei benutzt. Doch es handelt sich nicht um ein Office-Problem. Die Sicherheitslücke CVE-2022-30190 ist eine als "Priorität hoch" eingestufte Schwachstelle im Microsoft Support Diagnostic Tool (MSDT).
Das BSI sieht das anscheinend ähnlich und hat die Bedrohungslage auf Stufe 3 erhöht. Das ist dann der Fall, wenn die IT-Bedrohungslage als geschäftskritisch eingestuft wird und massive Beeinträchtigungen des Regelbetriebs drohen. Leider hat Microsoft noch kein Update parat, um das Problem zu beheben.
Sicherheitslücke von Microsoft ignoriert?
Sicherheitsexperten hatten das Problem schon früher entdeckt.Bild: John Hammond/Huntress
Die Sicherheitslücke ist ein sogenannter Remote-Execution-Bug. Angreifer können also ihren eigenen Code einschleusen und auf einem Windows-System ausführen. Hacker installieren auf diesem Weg aus der Ferne Malware, klauen Daten, löschen Dateien und Ordner oder verändern gespeicherte Informationen.
Bei den aktuellen Angriffen wird das URL-Protokoll über das MSDT aufgerufen. Die Schwachstelle wird auch "Follina" genannt, weil im verwendeten Word-Dokument die Vorwahl 0438 auftaucht, die der norditalienischen Gemeinde zugeordnet ist.
Mehrere Quellen deuten derzeit darauf hin, dass die Schwachstelle schon viel länger bekannt ist, Microsoft diese aber nicht mit dem nötigen Ernst angegangen hat: So soll die Lücke erstmals in einer Bachelor-Arbeit im August 2020 vorkommen. Im März 2021 wurde sie in Zusammenhang mit Teams an Microsoft gemeldet. Danach soll es ohne großes Aufsehen einen Patch für Teams gegeben haben. Im April dieses Jahres folgt dann nochmal eine Meldung an Microsofts Security Response Team, das das Problem nicht als Sicherheitsrisiko eingestuft hat.
Kein offizieller Patch, aber Workaround verfügbar
Einen Patch gibt es bisher nicht, aber Microsoft schlägt diesen Workaround vor.Bild: CHIP
Ein offizielles Sicherheitsupdate von Microsoft gibt es bisher nicht. Was es gibt, ist ein Fix des Anbieters 0patch. Der offizielle Rat von Microsoft ist es dagegen, den Protokoll-Handler zu deaktivieren:
Quelle: Chip.de
Wir hatten schon darüber berichtet, eine Sicherheitslücke in allen aktuellen Windows-Versionen bringt derzeit Millionen Nutzer in Gefahr. Als Einfallstor wird eine manipulierte Word-Datei benutzt. Doch es handelt sich nicht um ein Office-Problem. Die Sicherheitslücke CVE-2022-30190 ist eine als "Priorität hoch" eingestufte Schwachstelle im Microsoft Support Diagnostic Tool (MSDT).
Das BSI sieht das anscheinend ähnlich und hat die Bedrohungslage auf Stufe 3 erhöht. Das ist dann der Fall, wenn die IT-Bedrohungslage als geschäftskritisch eingestuft wird und massive Beeinträchtigungen des Regelbetriebs drohen. Leider hat Microsoft noch kein Update parat, um das Problem zu beheben.
Sicherheitslücke von Microsoft ignoriert?
Sicherheitsexperten hatten das Problem schon früher entdeckt.Bild: John Hammond/Huntress
Die Sicherheitslücke ist ein sogenannter Remote-Execution-Bug. Angreifer können also ihren eigenen Code einschleusen und auf einem Windows-System ausführen. Hacker installieren auf diesem Weg aus der Ferne Malware, klauen Daten, löschen Dateien und Ordner oder verändern gespeicherte Informationen.
Bei den aktuellen Angriffen wird das URL-Protokoll über das MSDT aufgerufen. Die Schwachstelle wird auch "Follina" genannt, weil im verwendeten Word-Dokument die Vorwahl 0438 auftaucht, die der norditalienischen Gemeinde zugeordnet ist.
Mehrere Quellen deuten derzeit darauf hin, dass die Schwachstelle schon viel länger bekannt ist, Microsoft diese aber nicht mit dem nötigen Ernst angegangen hat: So soll die Lücke erstmals in einer Bachelor-Arbeit im August 2020 vorkommen. Im März 2021 wurde sie in Zusammenhang mit Teams an Microsoft gemeldet. Danach soll es ohne großes Aufsehen einen Patch für Teams gegeben haben. Im April dieses Jahres folgt dann nochmal eine Meldung an Microsofts Security Response Team, das das Problem nicht als Sicherheitsrisiko eingestuft hat.
Kein offizieller Patch, aber Workaround verfügbar
Einen Patch gibt es bisher nicht, aber Microsoft schlägt diesen Workaround vor.Bild: CHIP
Ein offizielles Sicherheitsupdate von Microsoft gibt es bisher nicht. Was es gibt, ist ein Fix des Anbieters 0patch. Der offizielle Rat von Microsoft ist es dagegen, den Protokoll-Handler zu deaktivieren:
- Eingabeaufforderung als Administrator öffnen
- Durch Eingabe von reg export HKEY_CLASSES_ROOT\ms-msdt msdt-backup den aktuellen Registry-Key sichern
- Mit reg delete HKEY_CLASSES_ROOT\ms-msdt /f den betroffenen Registry-Key löschen
Quelle: Chip.de
Mia san Mia und Mia san Tripel