Schwachstelle in Microsoft-Diagnosetool macht Windows-Systeme angreifbar
Eine Sicherheitslücke im Microsoft Support Diagnostic Tool ermöglicht Angreifern, beliebigen Programmcode auf Windows-Systemen auszuführen. Kriminelle können einen Angriff etwa über Word-Dokumente starten. Eine Änderung in der Windows-Registry entschärft das Problem.
![(Source: Foto-Ruhrgebiet / Fotolia.com)](https://data.netzwoche.ch/styles/np8_full/s3/media/2022/06/01/Foto-Ruhrgebiet-Fotolia_43333113_L.jpg?itok=Vgzji6o8)
Eine kürzlich entdeckte Sicherheitslücke gefährdet Computer mit dem Microsoft-Betriebssystem Windows. Die Schwachstelle im Microsoft Support Diagnostic Tool (MSDT) werde bereits von Kriminellen ausgenutzt, warnen nicht nur Microsoft, sondern etwa auch die US-amerikanische Behörde für Cybersicherheit (CISA).
Über die auf den Namen "Follina" getaufte Schwachstelle mit der CVE-Nummer 2022-30190 könnte ein Angreifer aus der Ferne die Steuerung des Computers kapern, heisst es bei CISA. Microsoft erklärt, dass eine Attacke zum Beispiel über ein präpariertes Word-Dokument erfolgen kann. Darin wird das Diagnose-Tool über das URL-Protokoll "MSDT" aufgerufen. Gelinge der Angriff, könne der Angreifer "beliebigen Code mit den Rechten der aufrufenden Applikation ausführen".
Registry-Hack als Workaround
Noch gibt es keine Sicherheits-Updates zur Behebung der Schwachstelle. Systemadministratoren empfiehlt Microsoft, vorübergehend das URL-Protokoll "MSDT"zu deaktivieren. Dies geschieht, indem der entsprechende Schlüssel aus der Windows-Registry entfernt wird. Die Anweisungen laut Microsoft lauten:
Starten Sie eine Eingabeaufforderung mit Administratorrechten.
Sichern Sie den zu löschenden Registry-Schlüssel in eine Datei ab mit dem Befehl:
reg export HKEY_CLASSES_ROOT\ms-msdt Dateiname
Wobei "Dateiname" der beliebig wählbare Name der Datei ist, in die der Schlüssel gesichert wird.Dann löschen Sie den Schlüssel:
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
Der Workaround hat laut Microsoft einen Nachteil. Ist das MSDT-URL-Protokoll deaktiviert, können die Windows-Problembehebungsassistenten nicht mehr via Link aufgerufen werden. Solche Links gibt es laut Microsoft an vielen Stellen in Windows. Nach dem beschriebenen Registry-Hack lassen sich die Assistenten noch via "Hilfe Erhalten" oder in der "Systemsteuerung" aufrufen, merkt das Unternehmen an.
Hat Microsoft die Sicherheitslücke mittels Update geschlossen, lässt sich der Workaround rückgängig machen. Dazu ist eine Eingabeaufforderung mit Administratorrechten aufzurufen und der Befehl:
reg import Dateiname
auszuführen, wobei "Dateiname" jenem entsprechen muss, den Sie in der ersten Anleitung gewählt haben.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
![Jean-Pierre Mustier übernimmt als neuer CEO bei Atos. (Source: Atos.net)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/mustier_atos.jpg?itok=c11BX9xf)
Atos ernennt nächsten CEO
![(Source: Kasia Derenda / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/kasia-derenda-fl3rf_t8dms-unsplash.jpg?itok=72tLCDjs)
Phisher phishen am liebsten mit Microsoft
![(Source: Micha Brändli / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/micha-brandli-xteagvru_1u-unsplash.jpg?itok=YakH3APY)
Mandiant stuft nordkoreanische Cyberbande als APT45 ein
![(Source: OrsiO / Pixabay.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/webcat-636172_1280.jpg?itok=4c5VDYw5)
Wenn orangene Katzen Unsinn veranstalten
![(Source: DC Studio/Freepik.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/ransomware.jpg?itok=Ke4dCDqV)
Angreifer nehmen kritische Infrastrukturen ins Visier
![(Source: NOAA / Unsplash)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/google_wetter-ki_2024.jpg?itok=3ZIDlofC)
Google vereint KI und Physik für Wettervorhersagen
![(Source: Pawina / stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/proton_wallet_2024.jpeg?itok=cfViQUYL)
Proton startet mit Kryptowallet
![Rolf Unterberger, Mitglied des Verwaltungsrats, gratuliert Chief Sales Officer Gianni Mastromarino mit einem Pokal (v.l.). (Source: zVg)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/25/pokaluebergabe_cmyk.jpg?itok=8-ERumlE)
Assmann IT-Solutions feiert 15-Jahre-Jubiläum
![(Source: freshidea - stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/02/adobestock_416609395.jpeg?itok=lzCTG-o-)
Erfolgreiche Co-Creation im Digital Banking dank Design Thinking
![G.V. Shivashankar entwickelt derzeit am PSI verschiedene Verfahren zur Diagnose und Prognose von Krebs. (Source: Paul Scherrer Institut PSI/Markus Fischer)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/web20231116_shivashankar_0048.jpg?itok=zfzwJ7s8)