Menü: WeBLOG
Menü: WeBLOG
WeBLOG
Zurück zur Blog-Übersicht
MSDT-Lücke wird aktiv ausgenutzt (10.06.2022 | Update 15.06.2022)
Für das Sicherheitsleck CVE-2022-30190 (Follina) im Microsoft Diagnostic Tool (MSDT) gibt es immer noch kein Update, was von Angreifern zunehmend ausgenutzt wird. Das Problem besteht für alle Windows-Versionen. Die Angriffe erfolgen meist über Phishing-Mails, die von bekannten E-Mail-Adressen kommen, was Vertrauen wecken soll.

Deshalb sollte man immer hellwach sein, bevor man E-Mail-Anhänge öffnet, sei es ein HTML-, Office- oder PDF-Dokument. Sollte Unsicherheit dahingehend bestehen, ob die E-Mail wirklich vom angegebenen Absender kommt, ist es eine gute Idee, auf drittem Wege bei diesem nachzufragen. Auch ist Vorsicht auf Webseiten geboten, die Links zu solchen Dateien anbieten.

Um sich gegen diesbzgl. Angriffe effektiv zu wappnen, bleibt derzeit nur den MSDT-URL-Protokoll-Handler temporär zu entfernen bis ein Patch vorliegt.

Nutzer müssen dazu zunächst den Registrierungseditor mit administrativen Rechten öffnen (Befehl regedit) und zu folgendem Schlüssel navigieren:

--> HKEY_CLASSES_ROOT --> ms-msdt


Nun den Schlüssel mit der rechten Maustaste (Kontextmenü) exportieren und der Exportdatei z.B. den Namen "MSDT" vergeben. Anschliessend den kompletten Schlüssel löschen und den Rechner neu starten.

Zur späteren Wiederherstellung (Import) des Schlüssels, wenn ein entsprechender Patch das Problem beseitigt hat, genügt dann der Doppelklick (mit Adminrechten) auf die exportierte Datei "MSDT.reg".

Die Nebenwirkung des Workaround ist, dass Problemlösungskomponenten nicht mehr als Links gestartet werden können. Damit kann man jedoch gut leben.



Update 15.06.2022:

Mit dem Juni-Patchday vom 14.06.2022 wurde die Sicherheitslücke nun geschlossen. Die angebotenen kumulativen Updates für Windows (auch Server) enthalten entsprechende Sicherheitsfixes, wenngleich dies Microsoft nicht explizit im Supportbeitrag erwähnt. Dafür wurde der obig verlinkte Beitrag zum Sicherheitsleck entsprechend ergänzt. Dort heisst es:

"The update for this vulnerability is in the June 2022 cumulative Windows Updates. Microsoft strongly recommends that customers install the updates to be fully protected from the vulnerability. Customers whose systems are configured to receive automatic updates do not need to take any further action."

Kommentieren
Zurück zur Blog-Übersicht