Search by category:

Werbung*

IT-Sicherheit Microsoft Microsoft Office Sicherheitslücke Word Tutorial

MS Office: Zero-Day-Lücke in Word gefunden

 Zero-Day-Lücke in Word gefunden
Zero-Day-Lücke in Word gefunden // Bild von Elchinator auf Pixabay

Durch diese Sicherheitslücke können die Angreifer bösartig manipulierten Word-Dokumenten dafür nutzen um mit Schadcode infizierte Dokumente einzuschleussen.
Die Lücke bezieht sich auf das Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190, CVSS 7.8) CVE-2022-30190: Sicherheitsanfälligkeit für Empfehlungen im Microsoft Support-Diagnosetool
Dabei kommt es dazu, wenn Microsoft Windows Support Diagnostic Tool mit dem URL-Protokoll von einer Anwendung wie Word aufgerufen wird.

Der Twitter-Benutzer Nao sec entdeckte am 27. Mai 2022, ein seltsam aussehendes Word-Dokument in freier Wildbahn, das von einer IP-Adresse in Weißrussland veröffentlicht wurde. Es wurde festgestellt, dass dies ein Zero-Day-Fehler in Office und/oder Windows ist.

Twitter

Mit dem Laden des Tweets akzeptieren Sie die Datenschutzerklärung von Twitter.
Mehr erfahren

Inhalt laden

Das Dokument nutzt die Remote-Vorlagenfunktion von Word, um eine HTML-Datei von einer Remote-Website abzurufen, die dann das MSProtocol-URI-Schema ms-msdt verwendet, um Code zu laden und PowerShell auszuführen.

Das soll nicht machbar sein.

Microsoft stuft es jetzt innerhalb des Microsoft Defender Vulnerability Management als Zero Day ein.

Das erste Problem ist, dass Microsoft Word den Code auch bei deaktivierten Makros über msdt (ein Support-Tool) ausführt.
Die geschützte Ansicht ist aktiviert, aber wenn ihr das Dokument in das RTF-Format ändert, wird es ausgeführt, ohne dass ihr auf das Dokument zugreifen müsst (über die Registerkarte „Vorschau“ im Explorer), geschweige denn die geschützte Ansicht verwenden.

Wenn das Dokument beispielsweise eine .RTF-Datei ist und in der Vorschau im Explorer geöffnet wird,
gilt die geschützte Ansicht nicht und es wird zu einem Zero-Click-Exploit. Microsoft weiß das, sie erwähnen es nur nicht gegenüber Kunden.

1. Lösung: Die Sicherheitslücke schliessen – SDT-URL-Protokoll deaktivieren

Verwendet die folgenden Problembehandlungen, um das MSDT-URL-Protokoll zu deaktivieren.

Das Deaktivieren des MSDT-URL-Protokolls verhindert, dass Problembehandlungen als Links von überall im Betriebssystem gestartet werden. Fehlerbehebungen können weiterhin über die Anwendung „Hilfe abrufen“ und als andere oder zusätzliche Fehlerbehebungen in den Systemeinstellungen aufgerufen werden. Geht zum Deaktivieren wie folgt vor.

Öffnet die Eingabeaufforderung als Administrator .
Führt den Befehl reg export HKEY_CLASSES_ROOT\ms-msdt filename aus,
um den Registrierungsschlüssel zu sichern, und dann reg delete HKEY_CLASSES_ROOT\ms-msdt /f, um ihn zu entfernen.

Was ist der beste Weg, um die Problembehandlung rückgängig zu machen?

Öffnet die Eingabeaufforderung als Administrator.
Führt den Befehl reg import filename aus, um den Registrierungsschlüssel wiederherzustellen.

2. Lösung: Gruppenrichtlinien anpassen

Gruppenrichtlinien-Editor -> Computerkonfiguration -> Administrative Vorlagen -> System -> Problembehandlung und Diagnose -> Skriptdiagnose Stellt „Problembehandlung: Benutzern den Zugriff auf und die Ausführung von Fehlerbehebungsassistenten erlauben“ auf „deaktiviert“ ein.

Über die Registry

Registry: HKEY_LOCAL_MACHINE
Registry Pfad: \Software\Policies\Microsoft\Windows\ScriptedDiagnosticsProvider\Policy\
Value Name: DisableQueryRemoteServer
Type: REG_DWORD
Value: 0

Schutzmaßnahmen in Microsoft Defender

Microsoft Defender ist ein Antivirenprogramm (MDAV)
Microsoft Defender Antivirus erkennt und schützt vor wahrscheinlicher Ausnutzung von Sicherheitsrisiken mit
Erkennungsbuild 1.367.851.0 oder höher für die folgenden Signaturen:

Win32/Mesdetty.A ist ein Trojanisches Pferd (blockiert msdt-Befehlszeile)
Win32/Mesdetty.B ist ein Trojanisches Pferd (blockiert msdt-Befehlszeile)
Win32/MesdettyLaunch.A!blk ist ein Win32/MesdettyLaunch.A!blk-Verhalten (beendet den Prozess, der die msdt-Befehlszeile gestartet hat)
Trojan:Win32/MesdettyScript.A (Win32/MesdettyScript.A) (um HTML-Dateien zu erkennen, die msdt-verdächtige Befehle enthalten, die abgelegt werden)
Trojan:Win32/MesdettyScript.B (Win32/MesdettyScript.B) (um HTML-Dateien zu erkennen, die msdt-verdächtige Befehle enthalten, die abgelegt werden)
Kunden von Microsoft Defender Antivirus (MDAV) sollten den über die Cloud bereitgestellten Schutz und die automatisierte Übermittlung von Mustern aktivieren.

Künstliche Intelligenz und maschinelles Lernen werden in diesen Funktionen eingesetzt, um neue und unentdeckte Bedrohungen schnell zu identifizieren und zu stoppen.

Microsoft Defender für Office 365 ist ein von Microsoft entwickeltes Sicherheitsprogramm (MDO)
Für E-Mails mit schädlichen Dokumenten oder URLs, die zur Ausnutzung dieses Problems verwendet werden, bietet Microsoft Defender für Office 365 Erkennung und Schutz:

Trojan_DOCX_OLEAnomaly_AC
Trojan_DOCX_OLEAnomaly_AD
Trojan_DOCX_OLEAnomaly_AE
Trojan_DOCX_OLEAnomaly_AF
Exploit_UIA_CVE_2022_30190
Exploit_CVE_2022_30190_ShellExec
Exploit_HTML_CVE_2022_30190_A
Exploit_Win32_CVE_2022_30190_B

Wenn MSDT über das URL-Protokoll von einem aufrufenden Programm wie Word aufgerufen wird, tritt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung auf. Ein Angreifer, der diesen Fehler erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen.
In dem durch die Berechtigungen des Benutzers erlaubten Kontext kann der Angreifer dann Anwendungen installieren, Daten lesen, ändern oder entfernen und neue Konten erstellen.

Welche MS Office Produkte sind betroffen?

Twitter

Mit dem Laden des Tweets akzeptieren Sie die Datenschutzerklärung von Twitter.
Mehr erfahren

Inhalt laden

Es ist möglich gewesen unter Windows 10, ohne lokaler Administrator-Rechte, den Taschenrechner zu starten. Wobei das Ausführen von Makros vollständig deaktiviert war. Auf dem betroffenen PC lief Microsoft Defender und Office 365. Es lässt sich nicht ausschließen, dass andere Office Versionen 2013 und 2016 auch von dem Angrif verschon bleiben. Einen Ausfühlichen Beitrag zu Follina findet ihr hier
(Visited 35 times, 1 visits today)
Liebe Besucher unserer Homepage!
Wir hoffen, unsere Artikel konnten euch bei eurer Problemlösung helfen? Wenn ihr unsere Arbeit unterstützen möchtet, würden wir uns über eine kleine PayPal-Kaffeespende freuen. Vielen Dank!
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Post Comment

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Zur Datenschutzerklärung

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen