Der Sicherheitsdienstleister Proofpoint hat zum vergangenen Pfingstwochenende Angriffe auf mehrere Kunden aus europäischen und US-amerikanischen Regierungsorganisationen beobachtet. Die Cyberkriminellen versuchten, die Zero-Day-Sicherheitslücke in Microsofts Diagnostic Toll (MSDT) mit dem CVE-Eintrag CVE-2022-30190 zum Unterschieben von Schadcode zu missbrauchen. Dies meldeten die IT-Analytiker des Unternehmens auf Twitter. Bei der Malware-Kampagne wollten die Drahtzieher die Opfer mit einem RTF-Dokument ködern, das eine Gehaltserhöhung versprach. Dieses hat dann die bösartige Nutzlast von einem Server aus dem Internet nachgeladen, sofern die Schwachstelle nicht anderweitig ausgebessert wurde. Das heruntergeladene Powershell-Skript hat als zusätzliche Stufe ein weiteres Powershell-Skript nachgeladen. Dieses prüft wiederum, ob es in einer virtuellen Umgebung läuft und stiehlt Daten aus den lokalen Webbrowsern, Mailprogrammen und Dateidiensten. Zudem betreibt es weitere Aufklärung bezüglich der Umgebung der befallenen Maschine und schnürt die dabei gesammelten Informationen in ein ZIP-Paket, um dieses an den Kontrollserver zu schicken. Aufgrund der Vorgehensweise schätzen die IT-Sicherheitsforscher von Proofpoint, dass es sich um eine staatliche Cybergang handelt. Sie könnten zwar nicht konkret benennen, welche APT dahintersteckt, aber das zielgerichtete Vorgehen und das umfassende Ausspähen der Informationen des infiltrierten Systems nährten ihren Verdacht. Die angegriffene Zero-Day-Lücke wurde zunächst von IT-Forschern in Microsoft Office verortet, stellte sich aber als Problem des Microsoft Diagnostic Tools heraus, das sich durch den Protokoll-Handler ms-msdt: missbrauchen ließ. Zwar nutzten die ersten Attacken sorgsam präparierte Office-Dokumente, jedoch ließ sich das Problem mit manipulierten RTF-Dokumenten ohne weitere Nutzerinteraktion missbrauchen. Lediglich die Vorschau im Windows Explorer etwa reichte, um den Schadcode nachzuladen und auszuführen. Diese verschärfte Version mit präparierten RTF-Dokumenten haben die Cyberkriminellen inzwischen adaptiert und offenbar in ihre Exploit-Werkzeugkisten aufgenommen. Administratoren und Nutzer sollten den Protokoll-Handler daher dringend temporär entfernen, bis Microsoft einen Bugfix anbietet. Microsoft hat dazu folgende Anleitung bereitgestellt: Nutzer müssen zunächst eine administrative Eingabeaufforderung öffnen. Der Befehl reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname>
sichert den bisherigen Registry-Schlüssel in die Datei <Dateiname>
. Im Anschluss lösche der Aufruf von reg delete HKEY_CLASSES_ROOT\ms-msdt /f
den betreffenden Schlüssel. Zur späteren Wiederherstellung genügt dann der Aufruf von reg import <Dateiname>
an der administrativen Eingabeaufforderung.