Warnung: Zero-Day-Lücke in Microsoft Office ermöglicht Codeschmuggel [CISO, 02.06.2022] Bitte ergreifen Sie die hier beschriebene Gegenmaßnahme
Seit gestern (30.5.2022) ist eine Zero-Day(*)-Lücke in Microsoft Windows bekannt, die über manipulierte Office-Dokumente ausgenutzt werden kann.
IT-Sicherheitsforscher haben Word-Dokumente entdeckt, die beim Öffnen Schadcode aus dem Internet nachlädt und ausführt. Und dies, obwohl etwa Makro-Ausführung deaktiviert ist. Die Opfer müssen jedoch die “geschützte Ansicht” eines manipulierten Dokuments deaktivieren.
Inzwischen finden sich zahlreiche Anleitungen im Netz, die das konkrete Ausnutzen der Sicherheitslücke erläutern. Sogar einfach nutzbare Skripte zum Erstellen bösartiger Dokumente sind schon dabei.
Hintergrund
Microsoft Office führt den Code mittels Diagnose-Tool msdt.exe aus, z.B. beim Aufruf von Hilfeseiten-Links in Office. Und zwar selbst dann, wenn die Ausführung von Makros in den Einstellungen deaktiviert wurde. Allerdings springt zunächst die geschützte Ansicht an.
Mit etwas Nachhilfe können Angreifende die Gefährlichkeit jedoch erhöhen: Ändert man das Dokument in das RTF-Format, läuft der Code bereits, ohne dass die Datei vom Benutzer geöffnet wurde. Das geschieht in der Vorschau des Windows Explorer. Dort (natürlich) ohne “geschützte Ansicht”.
Abhilfe
- Keine externen RTF Dokumente verwenden (Vorschau im Windows-Explorer reicht schon zur Infektion)
- Bei von außen kommenden MS-Office-Dokumenten nie die „geschützte Ansicht“ (in der die Dokumente standardmäßig geöffnet werden) abschalten, ohne sich beim Absender über die Ungefährlichkeit des Dokuments vergewissert zu haben (aber nicht „als Antwort“ auf die empfangene Mail, sondern besser per Telefon oder mit neuer Mail)
- Den unten beschriebenen Registry Key entfernen und damit das missbrauchte Diagnose Tool abschalten.
Diagnose-Tool abschalten (als Administrator)
Um den URL-Handler für MSDT zu entfernen, sollen Administratoren laut Microsofts Anleitung eine administrative Eingabeaufforderung öffnen.
Der Befehl
reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname>
sichert den bisherigen Registry-Schlüssel in die Datei <Dateiname>.
Im Anschluss löscht der Aufruf von
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
den betreffenden Schlüssel.
Zur späteren Wiederherstellung (nachdem es einen Patch von Microsoft geben wird) genügt dann der Aufruf von
reg import <Dateiname>
an der administrativen Eingabeaufforderung.
Nebenwirkung :
Das Entfernen des MSDT-URL-Protokolls führt dazu, dass Problemlösungskomponenten nicht mehr als Links (in den Office Produkten) gestartet werden können.
Diese lassen sich jedoch noch immer über die “Hilfe erhalten”-App und in den Systemeinstellungen als andere oder zusätzliche Problemlösungsmodule zugreifen.
(*) Zero-Day bedeutet: es gibt noch kein Update/Patch des Herstellers, aber es gibt schon bekannte Fälle, bei denen die Lücke ausgeniutzt wird.
Quellen