Wir nutzen matomo zur anonymisierten Reichweitenerfassung. Mehr Informationen, sowie eine Option zum Opt-out, erhalten Sie in unserer Datenschutzerklärung.

Security Announcement: Zero-Day-Lücke in MS Office

Wichtige Handlungsempfehlung gegen die Zero-Day-Schwachstelle in MS Office

Achtung – hohes Risiko bei einer aktuellen Sicherheitslücke im MS Office Produkt „Word“.  

Angreifer sind derzeit in der Lage Word-Dateien so zu manipulieren und bösartig zu erstellen, dass sie automatisch Schadcodes aus dem Internet nachladen. 

Die Lücke betrifft das Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190, CVSS 7.8, Risiko "hoch"). 

Das SANS Institut empfiehlt zur Mitigation die Deaktivierung des MSDT-URL-Protokollhandlers. Dies birgt allerdings „Nebenwirkungen“, denn das Entfernen des MSDT-URL-Protokolls führt dazu, dass Problemlösungskomponenten nicht mehr als Links gestartet werden können. Diese lassen sich jedoch noch immer über die "Hilfe erhalten"-App und in den Systemeinstellungen als andere oder zusätzliche Problemlösungsmodule starten.

Wie Sie den Registry-Key sichern und löschen können:

Laut Microsoft sollen Administratoren, um den URL-Handler für MSDT zu entfernen, eine administrative Eingabeaufforderung öffnen und den aktuellen Schlüssel sichern. 

Der Befehl hierfür lautet: reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname> 

Dies sichert dann den bisherigen Registry-Schlüssel in die Datei <Dateiname>.  

Im Anschluss wird der Aufruf vonreg delete HKEY_CLASSES_ROOT\ms-msdt /fden betreffenden Schlüssel löschen.  Zur späteren Wiederherstellung genügt dann der Aufruf von reg import <Dateiname> an der administrativen Eingabeaufforderung. 

Für den Microsoft Defender zeigt Microsoft folgende Einstellungsoptimierungen auf. Hier sollten Administratoren den Cloud-Schutz und die automatische Sample-Übertragung aktivieren. Zudem wird empfohlen, die Richtlinie „BlockOfficeCreateProcessRule“ zu aktivieren, wodurch eine oftmals in Malware-Angriffen genutzte Technik unterbunden werden soll, durch die MS Office neue Child-Prozesse startet.

Weiterhin haben die Entwickler den Defender mit neuen Erkennungen versorgt, die bösartige Dokumente melden sollen. Die Namen der neuen Kennungen lauten: 

  • Trojan:Win32/Mesdetty.A  
  • Trojan:Win32/Mesdetty.B  
  • Behavior:Win32/MesdettyLaunch.A 
  • Behavior:Win32/MesdettyLaunch.B 
  • Behavior:Win32/MesdettyLaunch.C  

IT-Verantwortliche, die größere Installationen mit dem Microsoft 365 Defender Portal verwalten, finden Hinweise auf Angriffsversuche auf die Schwachstelle mit den passenden Beschreibungen unter: 

  • Suspicious behavior by an Office application 
  • Suspicious behavior by Msdt.exe
     

Derzeit gibt es von Microsoft noch kein Update zum Schließen dieser Sicherheitslücke.


Selbstverständlich stehen wir Ihnen aber gerne unterstützend zur Seite. 

 

Quelle: Sicherheitsempfehlung von Heise 

 

Security Announcement: Zero-Day-Lücke in MS Office

Zurück

News

Wichtiger Sicherheitshinweis zu kritischen Schwachstellen bei mehreren Produkten von Fortinet

Wichtige Handlungsempfehlung gegen die Zero-Day-Schwachstelle in Office

Ihre Meinung ist uns wichtig!

Wichtiger Sicherheitshinweis: F5 BIG-IP iControl REST Schwachstelle

Happy Birthday – magellan feiert dieses Jahr 30-jähriges Firmen-Jubiläum

magellan ist erneut nominiert für die Service Provider Awards 2022 in der Kategorie Managed Security

Alle News

Das FERNAO-Netzwerk

Durch den Zusammenschluss der Unternehmen profitieren Kunden von ganzheitlichen IT-Lösungen aus einer Hand – professionell und spezialisiert auf Ihre Projekte abgestimmt.

Mehr erfahren
Folgen Sie uns:
facebook twitter youtube linkedin xing instagram