MS Office: Zero-Day-Lücke in Word gefunden

Durch diese Sicherheitslücke können die Angreifer bösartig manipulierten Word-Dokumenten dafür nutzen um mit Schadcode infizierte Dokumente einzuschleussen.
Die Lücke bezieht sich auf das Microsoft Windows Support Diagnostic Tool (MSDT) (CVE-2022-30190, CVSS 7.8) CVE-2022-30190: Sicherheitsanfälligkeit für Empfehlungen im Microsoft Support-Diagnosetool
Dabei kommt es dazu, wenn Microsoft Windows Support Diagnostic Tool mit dem URL-Protokoll von einer Anwendung wie Word aufgerufen wird.

Der Twitter-Benutzer Nao sec entdeckte am 27. Mai 2022, ein seltsam aussehendes Word-Dokument in freier Wildbahn, das von einer IP-Adresse in Weißrussland veröffentlicht wurde. Es wurde festgestellt, dass dies ein Zero-Day-Fehler in Office und/oder Windows ist.

Das Dokument nutzt die Remote-Vorlagenfunktion von Word, um eine HTML-Datei von einer Remote-Website abzurufen, die dann das MSProtocol-URI-Schema ms-msdt verwendet, um Code zu laden und PowerShell auszuführen.

Das soll nicht machbar sein.

Microsoft stuft es jetzt innerhalb des Microsoft Defender Vulnerability Management als Zero Day ein.

Das erste Problem ist, dass Microsoft Word den Code auch bei deaktivierten Makros über msdt (ein Support-Tool) ausführt.
Die geschützte Ansicht ist aktiviert, aber wenn ihr das Dokument in das RTF-Format ändert, wird es ausgeführt, ohne dass ihr auf das Dokument zugreifen müsst (über die Registerkarte „Vorschau“ im Explorer), geschweige denn die geschützte Ansicht verwenden.

Wenn das Dokument beispielsweise eine .RTF-Datei ist und in der Vorschau im Explorer geöffnet wird,
gilt die geschützte Ansicht nicht und es wird zu einem Zero-Click-Exploit. Microsoft weiß das, sie erwähnen es nur nicht gegenüber Kunden.

1. Lösung: Die Sicherheitslücke schliessen – SDT-URL-Protokoll deaktivieren

Verwendet die folgenden Problembehandlungen, um das MSDT-URL-Protokoll zu deaktivieren.

Das Deaktivieren des MSDT-URL-Protokolls verhindert, dass Problembehandlungen als Links von überall im Betriebssystem gestartet werden. Fehlerbehebungen können weiterhin über die Anwendung „Hilfe abrufen“ und als andere oder zusätzliche Fehlerbehebungen in den Systemeinstellungen aufgerufen werden. Geht zum Deaktivieren wie folgt vor.

Öffnet die Eingabeaufforderung als Administrator .
Führt den Befehl reg export HKEY_CLASSES_ROOT\ms-msdt filename aus,
um den Registrierungsschlüssel zu sichern, und dann reg delete HKEY_CLASSES_ROOT\ms-msdt /f, um ihn zu entfernen.

Was ist der beste Weg, um die Problembehandlung rückgängig zu machen?

Öffnet die Eingabeaufforderung als Administrator.
Führt den Befehl reg import filename aus, um den Registrierungsschlüssel wiederherzustellen.

2. Lösung: Gruppenrichtlinien anpassen

Gruppenrichtlinien-Editor -> Computerkonfiguration -> Administrative Vorlagen -> System -> Problembehandlung und Diagnose -> Skriptdiagnose Stellt „Problembehandlung: Benutzern den Zugriff auf und die Ausführung von Fehlerbehebungsassistenten erlauben“ auf „deaktiviert“ ein.

Über die Registry

Registry: HKEY_LOCAL_MACHINE
Registry Pfad: \Software\Policies\Microsoft\Windows\ScriptedDiagnosticsProvider\Policy\
Value Name: DisableQueryRemoteServer
Type: REG_DWORD
Value: 0

Schutzmaßnahmen in Microsoft Defender

Microsoft Defender ist ein Antivirenprogramm (MDAV)
Microsoft Defender Antivirus erkennt und schützt vor wahrscheinlicher Ausnutzung von Sicherheitsrisiken mit
Erkennungsbuild 1.367.851.0 oder höher für die folgenden Signaturen:

Win32/Mesdetty.A ist ein Trojanisches Pferd (blockiert msdt-Befehlszeile)
Win32/Mesdetty.B ist ein Trojanisches Pferd (blockiert msdt-Befehlszeile)
Win32/MesdettyLaunch.A!blk ist ein Win32/MesdettyLaunch.A!blk-Verhalten (beendet den Prozess, der die msdt-Befehlszeile gestartet hat)
Trojan:Win32/MesdettyScript.A (Win32/MesdettyScript.A) (um HTML-Dateien zu erkennen, die msdt-verdächtige Befehle enthalten, die abgelegt werden)
Trojan:Win32/MesdettyScript.B (Win32/MesdettyScript.B) (um HTML-Dateien zu erkennen, die msdt-verdächtige Befehle enthalten, die abgelegt werden)
Kunden von Microsoft Defender Antivirus (MDAV) sollten den über die Cloud bereitgestellten Schutz und die automatisierte Übermittlung von Mustern aktivieren.

Künstliche Intelligenz und maschinelles Lernen werden in diesen Funktionen eingesetzt, um neue und unentdeckte Bedrohungen schnell zu identifizieren und zu stoppen.

Microsoft Defender für Office 365 ist ein von Microsoft entwickeltes Sicherheitsprogramm (MDO)
Für E-Mails mit schädlichen Dokumenten oder URLs, die zur Ausnutzung dieses Problems verwendet werden, bietet Microsoft Defender für Office 365 Erkennung und Schutz:

Trojan_DOCX_OLEAnomaly_AC
Trojan_DOCX_OLEAnomaly_AD
Trojan_DOCX_OLEAnomaly_AE
Trojan_DOCX_OLEAnomaly_AF
Exploit_UIA_CVE_2022_30190
Exploit_CVE_2022_30190_ShellExec
Exploit_HTML_CVE_2022_30190_A
Exploit_Win32_CVE_2022_30190_B

Wenn MSDT über das URL-Protokoll von einem aufrufenden Programm wie Word aufgerufen wird, tritt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung auf. Ein Angreifer, der diesen Fehler erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen.
In dem durch die Berechtigungen des Benutzers erlaubten Kontext kann der Angreifer dann Anwendungen installieren, Daten lesen, ändern oder entfernen und neue Konten erstellen.

Welche MS Office Produkte sind betroffen?