Microsoft warnt vor kritischer Windows-Sicherheitslücke

Microsoft hat kürzlich eine kritische Sicherheitslücke im Microsoft Support Diagnostic Tool, auch bekannt als MSDT, das mit Windows vorinstalliert ist, eingeräumt.

Die unter CVE-2022-30190 dokumentierte Sicherheitslücke ermöglicht es einem Angreifer, auf den betroffenen Geräten Anwendungen zu installieren oder sogar neue Konten zu erstellen.

Microsoft nennt zwar nicht ausdrücklich die betroffenen Windows-Versionen, aber die Sicherheitslücke befindet sich im Microsoft Support Diagnostic Tool, d. h., solange das Betriebssystem mit dieser Anwendung ausgeliefert wird, ist auch dieses gefährdet.

Es besteht eine Sicherheitsanfälligkeit für Remotecodeausführung, wenn MSDT über das URL-Protokoll von einer aufrufenden Anwendung wie Word aufgerufen wird. Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen. Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem durch die Rechte des Benutzers erlaubten Kontext erstellen.

Die derzeit verfügbare Abhilfe

Laut Microsoft können Benutzer einfach das MSDT-URL-Protokoll deaktivieren, um einen auf diese Sicherheitslücke abzielenden Exploit zu verhindern.

Die Deaktivierung des MSDT-URL-Protokolls verhindert, dass Troubleshooter als Links gestartet werden, einschließlich Links im gesamten Betriebssystem. Auf Troubleshooter kann weiterhin über die Anwendung Get Help und in den Systemeinstellungen als andere oder zusätzliche Troubleshooter zugegriffen werden.

Darüber hinaus weist der Softwarekonzern darauf hin, dass Microsoft Defender, das mit Windows mitgelieferte und standardmäßig aktivierte Antivirenprogramm, aktualisiert wurde, um eine mögliche Ausnutzung der Sicherheitslücke zu erkennen. Sie müssen die Signaturen Version 1.367.719.0 installieren.

Kunden mit Microsoft Defender Antivirus sollten den Schutz aus der Cloud und die automatische Übermittlung von Proben aktivieren. Diese Funktionen nutzen künstliche Intelligenz und maschinelles Lernen, um neue und unbekannte Bedrohungen schnell zu erkennen und zu stoppen. Kunden von Microsoft Defender for Endpoint können die Regel "BlockOfficeCreateProcessRule" zur Reduzierung der Angriffsfläche aktivieren, die verhindert, dass Office-Anwendungen untergeordnete Prozesse erstellen. Die Erstellung bösartiger untergeordneter Prozesse ist eine gängige Malware-Strategie.