Schweres Sicherheitsproblem in Windows: Bundesamt für Sicherheit erhöht Warnstufe – Eine Sicherheitslücke in Windows ruft das Bundesamt für Sicherheit auf den Plan. Das BSI erhöhte seine Bedrohungslage unlängst auf Stufe drei. Microsoft hat bislang noch keinen Patch geliefert, um des Problems Herr zu werden, gibt aber Tipps, wie das Risiko verringert werden kann.

Wie „Chip“ bereits zuvor berichtet hatte, sehen sich Millionen Nutzer aufgrund einer Lücke in sämtlichen aktuellen Windows-Varianten Sicherheitsrisiken ausgesetzt. Dabei dient eine manipulierte Word-Datei als trojanisches Pferd für eine Problemsituation, die „Chip“ zufolge gar kein Office-Problem darstellt: Es handelt sich um eine Sicherheitslücke mit der Kennzeichnung CVE-2022-30190. Diese Schwachstelle wird demnach als „Priorität hoch“ eingestuft.

Sie klafft im Microsoft Support Diagnostic Tool (MSDT).

Die Bedrohungslage scheint hoch genug, um beim BSI die Stufe 3 zu erfordern – diese wird ausgerufen, sobald eine IT-Bedrohungslage massive Beeinträchtigungen des Regelbetriebs zur Folge haben könnte und sie als geschäftskritisch eingestuft werden kann. Bislang hat Microsoft noch keinen Patch für das Problem in petto. Mit dem sogenannten Remote-Execution-Bug kann ein Angreifer eigenen Code auf ein System mit Windows einschleusen und in dem Betriebssystem starten.

Auf diese Weise können Hacker aus der Ferne Schadsoftware installieren, Dateien und Ordner manipulieren und löschen, gespeicherte Informationen verändern oder sensible Daten rauben. Die gegenwärtigen Angriffe erlauben es, das URL-Protokoll über das MSDT aufzurufen. Die Sicherheitslücke hört auch auf den Namen „Follina“ – eine norditalienische Gemeinde mit der Vorwahl 0438. Diese Zahl taucht laut „Chip“ im betroffenen Word-Dokument auf.

Schwachstelle schon länger bekannt?

Das Portal berichtet, dass die Schwachstelle bereits länger bekannt ist. Demnach sei man seitens Microsoft jedoch nicht mit dem „nötigen Ernst“ an diese Sicherheitslücke herangegangen: Eine Bachelor-Arbeit aus dem August 2020 soll die Lücke erstmals erwähnt haben. Im Zusammenhang mit der Arbeitsplattform Teams sei sie dann im März 2021 an das Unternehmen gemeldet worden. Teams habe daraufhin einen Patch erfahren. Später wurde dem Microsoft Security Response Team im April 2022 eine weitere Meldung zugetragen.

Auch dieses Sicherheitsteam stufte das Problem dem Bericht von „Chip“ zufolge nicht als Sicherheitsrisiko ein. Es gibt Stand dieses Artikels kein Update gegen das Problem, allerdings hat der Anbieter „0patch“ einen sogenannten „Fix“, der im Quellartikel verlinkt ist. Microsoft offizieller Rat lautet, den sogenannten Protokoll-Handler abzuschalten.

Dazu geht ihr wie folgt vor:

1. Eingabeaufforderung als Administrator öffnen.
2. Durch Eingabe von reg export HKEY_CLASSES_ROOT\ms-msdt msdt-backup den aktuellen Registry-Key sichern.
3. Mit reg delete HKEY_CLASSES_ROOT\ms-msdt /f den betroffenen Registry-Key löschen.

Dieser sogenannte Workaround lässt sich später wieder durch reg import msdt-backup zurücknehmen. Zudem soll die betriebssystem-interne Sicherheitslösung Windows Defender (ab Build 1.367.851.0) die manipulierten Word-Dokumente ausfindig machen und sperren können. Eine andere Möglichkeit, die Angriffe Microsoft zufolge zu stoppen: Office-Dokumente in der geschützten Ansicht zu öffnen.

Quelle: chip.de