Quelle: msrc-blog.microsoft.com (Englisch)
Am Montag, den 30. Mai 2022, veröffentlichte Microsoft die Sicherheitslücke CVE-2022-30190 in Bezug auf das Microsoft Support Diagnostic Tool (MSDT) in Windows.
Es besteht eine Sicherheitsanfälligkeit für Remotecodeausführung, wenn MSDT über das URL-Protokoll von einer aufrufenden Anwendung wie Word aufgerufen wird. Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen. Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem durch die Rechte des Benutzers erlaubten Kontext erstellen.
Abhilfemaßnahmen / Workaround
So deaktivieren Sie das MSDT-URL-Protokoll
Die Deaktivierung des MSDT-URL-Protokolls verhindert, dass Troubleshooter als Links gestartet werden, einschließlich Links im gesamten Betriebssystem. Auf Troubleshooter kann weiterhin über die Anwendung "Hilfe holen" und in den Systemeinstellungen als andere oder zusätzliche Troubleshooter zugegriffen werden. Führen Sie die folgenden Schritte zur Deaktivierung aus:
- Führen Sie die Eingabeaufforderung als Administrator aus.
- Um den Registrierungsschlüssel zu sichern, führen Sie den Befehl "reg export HKEY_CLASSES_ROOT\ms-msdt filename" aus
- Führen Sie den Befehl "reg delete HKEY_CLASSES_ROOT\ms-msdt /f" aus.
So machen Sie die Umgehung rückgängig
- Führen Sie die Eingabeaufforderung als Administrator aus.
- Um den Registrierungsschlüssel wiederherzustellen, führen Sie den Befehl "reg import filename" aus.
Erkennung und Schutz durch Microsoft Defender Kunden mit Microsoft Defender Antivirus sollten den in der Cloud bereitgestellten Schutz und die automatische Übermittlung von Proben aktivieren. Diese Funktionen nutzen künstliche Intelligenz und maschinelles Lernen, um neue und unbekannte Bedrohungen schnell zu erkennen und zu stoppen.
Kunden von Microsoft Defender for Endpoint können die Regel "BlockOfficeCreateProcessRule" zur Reduzierung der Angriffsfläche aktivieren, die verhindert, dass Office-Anwendungen untergeordnete Prozesse erstellen. Die Erstellung bösartiger untergeordneter Prozesse ist eine gängige Malware-Strategie. Weitere Informationen finden Sie unter Übersicht über Regeln zur Reduzierung der Angriffsfläche.
Microsoft Defender Antivirus bietet Erkennungen und Schutz für die mögliche Ausnutzung von Sicherheitslücken unter den folgenden Signaturen mit Erkennungs-Build 1.367.719.0 oder neuer:
- Trojan:Win32/Mesdetty.A (blockiert msdt-Befehlszeile)
- Trojan:Win32/Mesdetty.B (blockiert die msdt-Befehlszeile)
- Behavior:Win32/MesdettyLaunch.A!blk (beendet den Prozess, der msdt command line gestartet hat)
Microsoft Defender for Endpoint bietet Kunden Erkennungen und Warnungen. Die folgenden Warnmeldungen im Microsoft 365 Defender-Portal können auf Bedrohungsaktivitäten in Ihrem Netzwerk hinweisen:
- Verdächtiges Verhalten einer Office-Anwendung
- Verdächtiges Verhalten von Msdt.exe