Workaround bannt die Gefahr

Schwachstelle in Microsoft-Diagnosetool macht Windows-Systeme angreifbar

Uhr
von René Jaun und kfi

Eine Sicherheitslücke im Microsoft Support Diagnostic Tool ermöglicht Angreifern, beliebigen Programmcode auf Windows-Systemen auszuführen. Kriminelle können einen Angriff etwa über Word-Dokumente starten. Eine Änderung in der Windows-Registry entschärft das Problem.

(Source: Foto-Ruhrgebiet / Fotolia.com)
(Source: Foto-Ruhrgebiet / Fotolia.com)

Eine kürzlich entdeckte Sicherheitslücke gefährdet Computer mit dem Microsoft-Betriebssystem Windows. Die Schwachstelle im Microsoft Support Diagnostic Tool (MSDT) werde bereits von Kriminellen ausgenutzt, warnen nicht nur Microsoft, sondern etwa auch die US-amerikanische Behörde für Cybersicherheit (CISA).

Über die auf den Namen "Follina" getaufte Schwachstelle mit der CVE-Nummer 2022-30190 könnte ein Angreifer aus der Ferne die Steuerung des Computers kapern, heisst es bei CISA. Microsoft erklärt, dass eine Attacke zum Beispiel über ein präpariertes Word-Dokument erfolgen kann. Darin wird das Diagnose-Tool über das URL-Protokoll "MSDT" aufgerufen. Gelinge der Angriff, könne der Angreifer "beliebigen Code mit den Rechten der aufrufenden Applikation ausführen".

Registry-Hack als Workaround

Noch gibt es keine Sicherheits-Updates zur Behebung der Schwachstelle. Systemadministratoren empfiehlt Microsoft, vorübergehend das URL-Protokoll "MSDT"zu deaktivieren. Dies geschieht, indem der entsprechende Schlüssel aus der Windows-Registry entfernt wird. Die Anweisungen laut Microsoft lauten:

  1. Starten Sie eine Eingabeaufforderung mit Administratorrechten.

  2. Sichern Sie den zu löschenden Registry-Schlüssel in eine Datei ab mit dem Befehl:
    reg export HKEY_CLASSES_ROOT\ms-msdt Dateiname
    Wobei "Dateiname" der beliebig wählbare Name der Datei ist, in die der Schlüssel gesichert wird.

  3. Dann löschen Sie den Schlüssel:
    reg delete HKEY_CLASSES_ROOT\ms-msdt /f

Der Workaround hat laut Microsoft einen Nachteil. Ist das MSDT-URL-Protokoll deaktiviert, können die Windows-Problembehebungsassistenten nicht mehr via Link aufgerufen werden. Solche Links gibt es laut Microsoft an vielen Stellen in Windows. Nach dem beschriebenen Registry-Hack lassen sich die Assistenten noch via "Hilfe Erhalten" oder in der "Systemsteuerung" aufrufen, merkt das Unternehmen an.

Hat Microsoft die Sicherheitslücke mittels Update geschlossen, lässt sich der Workaround rückgängig machen. Dazu ist eine Eingabeaufforderung mit Administratorrechten aufzurufen und der Befehl:
reg import Dateiname

auszuführen, wobei "Dateiname" jenem entsprechen muss, den Sie in der ersten Anleitung gewählt haben.

Microsofts Sicherheitsforschende warnen vor einem zunehmenden Skimming-Trend bei Kreditkartenbetrügern. Dabei verstecken die Kriminellen bösartigen Code in Bilddateien und bauen ihn in beliebte Webanwendungen ein. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_258118