Sicherheitslücke in MS Office

Microsoft Sicherheitslücke kann Remote Code ausführen

Microsoft hat Empfehlungen veröffentlicht, wie die Sicherheitslücke eingegrenzt werden kann.

Am Montag wurde die Zero-Day-Sicherheitslücke in Microsoft Office als CVE-2022-30190 veröffentlicht. Der Hersteller hat nun weitere Handlungsempfehlungen herausgegeben. 

Microsoft klassifiziert die Sicherheitslücke als hohes Risiko. Die Sicherheitslücke ist nicht direkt in Microsoft Office sondern im Microsoft Windows Support Diagnostic Tool (MSDT). Durch die Ausnutzung der Sicherheitslücke kann laut Microsoft beliebiger Code aus dem Netz geladen und ausgeführt werden, wenn MSDT mit dem URL-Protokoll von einer Anwendung wie Word aufgerufen wird. Das Laden und ausführen von Code ermöglicht es dem Angreifer etwa das Installieren von Programmen, das Lesen, Ändern oder Löschen von Daten oder das Erzeugen neuer Benutzerkonten im Kontext der Nutzerrechte.

Microsoft gibt Empfehlungen

Das Problem kann durch deaktivieren des MSDT-URL-Protokolls umgangen werden.

Das Deaktivieren des MSDT-URL-Protokolls verhindert, dass Fehlerbehebungen als Links gestartet werden, einschließlich Links im gesamten Betriebssystem. Auf Fehlerbehebungen kann weiterhin über die Anwendung „Hilfe abrufen “ und in den Systemeinstellungen als andere oder zusätzliche Fehlerbehebungen zugegriffen werden. Befolgen Sie diese Schritte zum Deaktivieren:

  • Führen Sie die Eingabeaufforderung als Administrator aus .
  • Um den Registrierungsschlüssel zu sichern, führen Sie den Befehl „reg export HKEY_CLASSES_ROOT\ms-msdt filename “ aus .
  • Führen Sie den Befehl „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“ aus.

So machen Sie die Problemumgehung rückgängig

  • Führen Sie die Eingabeaufforderung als Administrator aus .
  • Um den Registrierungsschlüssel wiederherzustellen, führen Sie den Befehl „reg import filename“ aus.

Microsoft beschreibt weiter, das die geschützte Ansicht von Dokumenten, welche aus dem Internet stammen, vor dem Exploit schützen, ebenso der Application Guard für Office. Für den professionellen Microsoft Defender wurden neue Signaturen veröffentlicht, welche bösartige Dokumente melden sollen. BIslang sind noch keine Informationen verfügbar, ob und wann ein Update zum Schließen der Lücke zur Verfügung gestellt wird.

Im Blog von Microsoft finden Sie weitergehende Informationen.

Sollten Sie Unterstützung benötigen, so wenden Sie sich gerne an uns: wirhelfen@atecto.de

Alle aktuellen Sicherheitswarnungen von uns finden Sie unter atecto.de/security

Weiterempfehlen!
+49 (0) 2684 9454-0
Standort
Teamviewer Download
Teamviewer Download