Wir nutzen matomo zur anonymisierten Reichweitenerfassung. Mehr Informationen, sowie eine Option zum Opt-out, erhalten Sie in unserer Datenschutzerklärung.

Security Announcement: Zero-Day-Lücke in MS Office

Wichtige Handlungsempfehlung gegen die Zero-Day-Schwachstelle in MS Office

Achtung – hohes Risiko bei einer aktuellen Sicherheitslücke im MS Office Produkt „Word“.  

Angreifer sind derzeit in der Lage Word-Dateien so zu manipulieren und bösartig zu erstellen, dass sie automatisch Schadcodes aus dem Internet nachladen. 

Die Lücke betrifft das Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190, CVSS 7.8, Risiko "hoch"). 

Das SANS Institut empfiehlt zur Mitigation die Deaktivierung des MSDT-URL-Protokollhandlers. Dies birgt allerdings „Nebenwirkungen“, denn das Entfernen des MSDT-URL-Protokolls führt dazu, dass Problemlösungskomponenten nicht mehr als Links gestartet werden können. Diese lassen sich jedoch noch immer über die "Hilfe erhalten"-App und in den Systemeinstellungen als andere oder zusätzliche Problemlösungsmodule starten.

Wie Sie den Registry-Key sichern und löschen können:

Laut Microsoft sollen Administratoren, um den URL-Handler für MSDT zu entfernen, eine administrative Eingabeaufforderung öffnen und den aktuellen Schlüssel sichern. 

Der Befehl hierfür lautet: reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname> 

Dies sichert dann den bisherigen Registry-Schlüssel in die Datei <Dateiname>.  

Im Anschluss wird der Aufruf vonreg delete HKEY_CLASSES_ROOT\ms-msdt /fden betreffenden Schlüssel löschen.  Zur späteren Wiederherstellung genügt dann der Aufruf von reg import <Dateiname> an der administrativen Eingabeaufforderung. 

Für den Microsoft Defender zeigt Microsoft folgende Einstellungsoptimierungen auf. Hier sollten Administratoren den Cloud-Schutz und die automatische Sample-Übertragung aktivieren. Zudem wird empfohlen, die Richtlinie „BlockOfficeCreateProcessRule“ zu aktivieren, wodurch eine oftmals in Malware-Angriffen genutzte Technik unterbunden werden soll, durch die MS Office neue Child-Prozesse startet.

Weiterhin haben die Entwickler den Defender mit neuen Erkennungen versorgt, die bösartige Dokumente melden sollen. Die Namen der neuen Kennungen lauten: 

  • Trojan:Win32/Mesdetty.A  
  • Trojan:Win32/Mesdetty.B  
  • Behavior:Win32/MesdettyLaunch.A 
  • Behavior:Win32/MesdettyLaunch.B 
  • Behavior:Win32/MesdettyLaunch.C  

IT-Verantwortliche, die größere Installationen mit dem Microsoft 365 Defender Portal verwalten, finden Hinweise auf Angriffsversuche auf die Schwachstelle mit den passenden Beschreibungen unter: 

  • Suspicious behavior by an Office application 
  • Suspicious behavior by Msdt.exe
     

Derzeit gibt es von Microsoft noch kein Update zum Schließen dieser Sicherheitslücke.


Selbstverständlich stehen wir Ihnen aber gerne unterstützend zur Seite. 

 

Quelle: Sicherheitsempfehlung von Heise 

 

Security Announcement: Zero-Day-Lücke in MS Office

Zurück

News

Neuer magellan-Standort

Seit dem 01.01.2023 gibt es einen neuen Standort in Bielefeld

magellan-Weihnachtsspende für den guten Zweck

Gemeinnützige Einrichtung himmel & ääd erhält unsere diesjährige Weihnachtsspende

Neu an Bord der magellan: Olaf Siemens

Seit dem 1. Dezember 2022 ergänzt der neue Managing Director das Führungsteam der magellan

Managed Service Provider Award 2022

Extreme Networks Focus Partner of the Year – Managed Service Provider

Umfrage zum besten Managed Service Provider 2023

Ihre Stimme zählt! Bewerten Sie uns als Managed Service Provider

Security Announcement: Aruba

Wichtiger Sicherheitshinweis zu mehreren kritischen Lücken im Netzwerkbetriebssystem ArubaOS.

Alle News

Das FERNAO-Netzwerk

Durch den Zusammenschluss der Unternehmen profitieren Kunden von ganzheitlichen IT-Lösungen aus einer Hand – professionell und spezialisiert auf Ihre Projekte abgestimmt.

Mehr erfahren
Folgen Sie uns:
facebook twitter youtube linkedin xing instagram