Zu der am Montag dieser Woche bekannt gewordenen Zero-Day-Sicherheitslücke in Microsoft Office hat der Hersteller nun Handlungsempfehlungen veröffentlicht. Angreifer können die Sicherheitslücke mit bösartig manipulierten Word-Dokumenten zum Einschleusen von Schadcode missbrauchen. Die Lücke wird derzeit noch von vielen IT-Sicherheitsexperten genauer analysiert. Microsoft klassifiziert die Schwachstelle als hohes Risiko. Das Unternehmen verortet den Fehler nicht im Office-Paket, durch das bisherige Angriffe mit einem bösartig manipulierten Word-Dokument stattfanden. Die Lücke betreffe das Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190, CVSS 7.8, Risiko „hoch“). Konkret erläutert Microsoft die Lücke folgendermaßen: Eine Schwachstelle, die das Ausführen beliebigen Codes aus dem Netz ermöglicht, tritt auf, wenn MSDT mit dem URL-Protokoll von einer Anwendung wie Word aufgerufen wird. Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen. Dies ermöglicht etwa das Installieren von Programmen, das Einsehen, Verändern oder Löschen von Daten oder das Anlegen neuer Konten im Kontext der Nutzerrechte. In einem Blog-Beitrag im Microsoft Security Response Center erläutern IT-Sicherheitsexperten Gegenmaßnahmen. Administratoren können diese ergreifen, um die Auswirkungen der Schwachstelle abzumildern und den Missbrauch durch Angreifer zu unterbinden. Die erste Empfehlung ist gleichlautend mit einer der Ideen, die das SANS Institut am Montag entwickelte: die Deaktivierung des MSDT-URL-Protokollhandlers. Microsoft erläutert jedoch die Nebenwirkungen, die dieser Schritt hat. So führt das Entfernen des MSDT-URL-Protokolls dazu, dass Problemlösungskomponenten nicht mehr als Links gestartet werden können. Diese lassen sich jedoch noch immer über die „Hilfe erhalten“-App und in den Systemeinstellungen als andere oder zusätzliche Problemlösungsmodule zugreifen. Um den URL-Handler für MSDT zu entfernen, sollen Administratoren laut Microsofts Anleitung eine administrative Eingabeaufforderung öffnen. Der Befehl reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname>
sichert den bisherigen Registry-Schlüssel in die Datei <Dateiname>
. Im Anschluss lösche der Aufruf von reg delete HKEY_CLASSES_ROOT\ms-msdt /f
den betreffenden Schlüssel. Zur späteren Wiederherstellung genügt dann der Aufruf von reg import <Dateiname>
an der administrativen Eingabeaufforderung. Für den professionellen Microsoft Defender listet der Hersteller weitere Einstellungsoptimierungen auf. So sollten Administratoren den Cloud-Schutz und die automatische Sample-Übertragung aktivieren. Zudem empfiehlt das Unternehmen die Aktivierung der Richtlinie BlockOfficeCreateProcessRule
, wodurch eine oftmals in Malware-Angriffen genutzte Technik unterbunden werden soll, durch die Office neue Child-Prozesse startet. Weiterhin haben die Entwickler den Defender mit neuen Erkennungen versorgt, die bösartige Dokumente melden sollen. Die Namen lauten
- Trojan:Win32/Mesdetty.A
- Trojan:Win32/Mesdetty.B
- Behavior:Win32/MesdettyLaunch.A
- Behavior:Win32/MesdettyLaunch.B
- Behavior:Win32/MesdettyLaunch.C
IT-Verantwortliche, die größere Installationen mit dem Microsoft 365 Defender Portal verwalten, finden Hinweise auf Angriffsversuche auf die Schwachstelle mit den Beschreibungen
- Suspicious behavior by an Office application
- Suspicious behavior by Msdt.exe
Microsoft erläutert weiter, dass die „geschützte Ansicht“ von aus dem Internet stammenden Dokumenten vor dem Exploit schütze; ebenso der Application Guard für Office. Allerdings sollten Administratoren sich darauf nicht als Schutz verlassen: Anwender können die geschützte Ansicht mit einem Klick im geöffneten Dokument deaktivieren. Das Unternehmen hat sich bislang noch nicht dazu geäußert, ob und wann es ein Update zum Schließen der Lücke gibt. Inzwischen finden sich jedoch zahlreiche Anleitungen im Netz, die das konkrete Ausnutzen der Sicherheitslücke erläutern. Sogar einfach nutzbare Skripte zum Erstellen bösartiger Dokumente sind schon dabei.