Deutschland
 

Sicherheitslücke in Microsoft-Tool

Hacker führen Code in Windows-Systemen aus

Hacker nutzen aktuell vermehrt eine Microsoft-Sicherheitslücke aus. Einen Patch für das Diagnose-Tool gibt es noch nicht, so können Sie sich trotzdem vor ungewollter Code-Ausführung schützen.
Von 
CSO | 02. Juni 2022 12:32 Uhr
Cyberangreifer nutzen eine Sicherheitslücke im "Microsoft Support Diagnostic Tool" aus, um Zugriff auf Windows-Systeme zu erlangen.
Cyberangreifer nutzen eine Sicherheitslücke im "Microsoft Support Diagnostic Tool" aus, um Zugriff auf Windows-Systeme zu erlangen.
Foto: Gorodenkoff - shutterstock.com

Follina heißt eine kürzlich entdeckte Sicherheitslücke, durch die Hacker Computer mit dem Microsoft-Betriebssystem Windows infiltrieren können.

Microsoft erklärt, dass Angreifer zum Beispiel ein Word-Dokument für ihre Attacke nutzen können, indem sie darin das Diagnose-Tool über das URL-Protokoll MSDT aufrufen. Der Angreifer könne "beliebigen Code mit den Rechten der aufrufenden Applikation ausführen" und dann Programme installieren, Daten anzeigen, ändern oder löschen und sogar mit den entsprechenden Berechtigungen des gehackten Nutzers neue Konten erstellen.

MSDT-Lücke wird bereits ausgenutzt

Mit dem Betriebssystem Windows ist Microsoft der Marktführer unter den Anbietern und ist weltweit verbreitet. Kein Wunder, dass Cyberangreifer bereits dabei sind, die Sicherheitslücke in dem System auszunutzen.

Auf Twitter berichtet das Security-Forschungsteam von Proofpoint über eine chinesische Cybergruppe namens "TA413", die mit manipulierten Microsoft-Anwendungen die tibetische Verwaltungsbehörde angreift.

Auch Microsoft selbst meldet den Missbrauch der Zero-Day-Schwachstelle, einen Patch dafür gibt es allerdings noch nicht.

Neben Security-Herstellern wie Cisco und Palo Alto warnt auch die amerikanische Sicherheitsbehörde CISA vor der Schwachstelle Follina, die die CVE-Nummer CVE-2022-30190 erhielt.

Schutz vor Sicherheitslücke Follina

Vorerst können sich Windows-Nutzer schützen, indem sie das MSDT-URL-Protokoll deaktivieren. Eine Anleitung dazu stellt Microsoft online bereit.

Außerdem nennt der Hersteller weitere Sicherheitsmaßnahmen:

  • Kunden die Defender Antivirus nutzen, sollten den in der Cloud bereitgestellten Schutz und die automatische Übermittlung von forensischen Proben aktivieren.

  • Kunden mit Microsoft Defender for Endpoint im Einsatz können die Angriffsflächenreduzierungsregel "BlockOfficeCreateProcessRule" aktivieren, die Office-Apps daran hindert, untergeordnete Prozesse zu erstellen.

  • Auch die Lösung Protected View and Application Guard for Office kann Schutz vor der Zero-Day-Attacke bieten.

Darüber hinaus bietet Microsoft eine Reihe von Empfehlungen, um die Angriffsfläche zu reduzieren.

Melanie Staudacher war Editor bei CSO. Ihr Schwerpunkt war IT-Security.
Folgen: