Security Announcement: Zero-Day-Lücke in MS Office
Wichtige Handlungsempfehlung gegen die Zero-Day-Schwachstelle in MS Office
Achtung – hohes Risiko bei einer aktuellen Sicherheitslücke im MS Office Produkt „Word“.
Angreifer sind derzeit in der Lage Word-Dateien so zu manipulieren und bösartig zu erstellen, dass sie automatisch Schadcodes aus dem Internet nachladen.
Die Lücke betrifft das Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190, CVSS 7.8, Risiko "hoch").
Das SANS Institut empfiehlt zur Mitigation die Deaktivierung des MSDT-URL-Protokollhandlers. Dies birgt allerdings „Nebenwirkungen“, denn das Entfernen des MSDT-URL-Protokolls führt dazu, dass Problemlösungskomponenten nicht mehr als Links gestartet werden können. Diese lassen sich jedoch noch immer über die "Hilfe erhalten"-App und in den Systemeinstellungen als andere oder zusätzliche Problemlösungsmodule starten.
Wie Sie den Registry-Key sichern und löschen können:
Laut Microsoft sollen Administratoren, um den URL-Handler für MSDT zu entfernen, eine administrative Eingabeaufforderung öffnen und den aktuellen Schlüssel sichern.
Der Befehl hierfür lautet: reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname>
Dies sichert dann den bisherigen Registry-Schlüssel in die Datei <Dateiname>.
Im Anschluss wird der Aufruf von reg delete HKEY_CLASSES_ROOT\ms-msdt /f den betreffenden Schlüssel löschen. Zur späteren Wiederherstellung genügt dann der Aufruf von reg import <Dateiname> an der administrativen Eingabeaufforderung.
Für den Microsoft Defender zeigt Microsoft folgende Einstellungsoptimierungen auf. Hier sollten Administratoren den Cloud-Schutz und die automatische Sample-Übertragung aktivieren. Zudem wird empfohlen, die Richtlinie „BlockOfficeCreateProcessRule“ zu aktivieren, wodurch eine oftmals in Malware-Angriffen genutzte Technik unterbunden werden soll, durch die MS Office neue Child-Prozesse startet.
Weiterhin haben die Entwickler den Defender mit neuen Erkennungen versorgt, die bösartige Dokumente melden sollen. Die Namen der neuen Kennungen lauten:
- Trojan:Win32/Mesdetty.A
- Trojan:Win32/Mesdetty.B
- Behavior:Win32/MesdettyLaunch.A
- Behavior:Win32/MesdettyLaunch.B
- Behavior:Win32/MesdettyLaunch.C
IT-Verantwortliche, die größere Installationen mit dem Microsoft 365 Defender Portal verwalten, finden Hinweise auf Angriffsversuche auf die Schwachstelle mit den passenden Beschreibungen unter:
- Suspicious behavior by an Office application
- Suspicious behavior by Msdt.exe
Derzeit gibt es von Microsoft noch kein Update zum Schließen dieser Sicherheitslücke.
Selbstverständlich stehen wir Ihnen aber gerne unterstützend zur Seite.
Quelle: Sicherheitsempfehlung von Heise
Security Announcement: Zero-Day-Lücke in MS Office
