Schwachstelle in Microsoft-Diagnosetool macht Windows-Systeme angreifbar
Eine Sicherheitslücke im Microsoft Support Diagnostic Tool ermöglicht Angreifern, beliebigen Programmcode auf Windows-Systemen auszuführen. Kriminelle können einen Angriff etwa über Word-Dokumente starten. Eine Änderung in der Windows-Registry entschärft das Problem.
Eine kürzlich entdeckte Sicherheitslücke gefährdet Computer mit dem Microsoft-Betriebssystem Windows. Die Schwachstelle im Microsoft Support Diagnostic Tool (MSDT) werde bereits von Kriminellen ausgenutzt, warnen nicht nur Microsoft, sondern etwa auch die US-amerikanische Behörde für Cybersicherheit (CISA).
Über die auf den Namen "Follina" getaufte Schwachstelle mit der CVE-Nummer 2022-30190 könnte ein Angreifer aus der Ferne die Steuerung des Computers kapern, heisst es bei CISA. Microsoft erklärt, dass eine Attacke zum Beispiel über ein präpariertes Word-Dokument erfolgen kann. Darin wird das Diagnose-Tool über das URL-Protokoll "MSDT" aufgerufen. Gelinge der Angriff, könne der Angreifer "beliebigen Code mit den Rechten der aufrufenden Applikation ausführen".
Registry-Hack als Workaround
Noch gibt es keine Sicherheits-Updates zur Behebung der Schwachstelle. Systemadministratoren empfiehlt Microsoft, vorübergehend das URL-Protokoll "MSDT"zu deaktivieren. Dies geschieht, indem der entsprechende Schlüssel aus der Windows-Registry entfernt wird. Die Anweisungen laut Microsoft lauten:
Starten Sie eine Eingabeaufforderung mit Administratorrechten.
Sichern Sie den zu löschenden Registry-Schlüssel in eine Datei ab mit dem Befehl:
reg export HKEY_CLASSES_ROOT\ms-msdt Dateiname
Wobei "Dateiname" der beliebig wählbare Name der Datei ist, in die der Schlüssel gesichert wird.Dann löschen Sie den Schlüssel:
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Der Workaround hat laut Microsoft einen Nachteil. Ist das MSDT-URL-Protokoll deaktiviert, können die Windows-Problembehebungsassistenten nicht mehr via Link aufgerufen werden. Solche Links gibt es laut Microsoft an vielen Stellen in Windows. Nach dem beschriebenen Registry-Hack lassen sich die Assistenten noch via "Hilfe Erhalten" oder in der "Systemsteuerung" aufrufen, merkt das Unternehmen an.
Hat Microsoft die Sicherheitslücke mittels Update geschlossen, lässt sich der Workaround rückgängig machen. Dazu ist eine Eingabeaufforderung mit Administratorrechten aufzurufen und der Befehl:
reg import Dateiname
auszuführen, wobei "Dateiname" jenem entsprechen muss, den Sie in der ersten Anleitung gewählt haben.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
United Security Providers lanciert Core WAAP
Bug Bounty Switzerland lanciert Schutzschild für Unternehmen
Phisher tarnen sich am Black Friday als Banken und Technikhändler
Kaspersky stellt Cybersecurity-Trends für 2025 vor
Betrüger umgehen SMS-Filter mit RCS-System
Wenn Harry Potter in eine amerikanische Schule ging
Schweizer Finanzbranche im Fadenkreuz von Cyberkriminellen
Cyberkriminelle nehmen Ledger-User ins Visier
Zu lange Laufstrecken in Open-World-Spielen
