Achtung: gefährliche Sicherheitslücke – Millionen Windows-Nutzer betroffen

2. Juni 2022 Lesedauer: 3 Minuten

Sicherheitslücke

Vor wenigen Tagen wurde im hauseigenen Diagnoseprogramm zur Fehlersuche „Microsoft Support Diagnostic Tool“, kurz MSDT, eine Zero-Day-Sicherheitslücke entdeckt. Von der Schwachstelle, die auf den Namen „Follina“ getauft wurde, sind Millionen Windows-Nutzer weltweit betroffen. Die Lücke wurde bereits von Cyberkriminellen für Angriffe missbraucht.

Was versteht man unter einer Zero-Day-Sicherheitslücke?

Als Zero-Day-Sicherheitslücke wird eine Lücke bezeichnet, bei der null Tage zwischen der Entdeckung und dem ersten Cyberangriff liegen. Da die Sicherheitslücke zuvor nicht bekannt ist und von den Angreifern als erstes entdeckt wird, gibt es keine Möglichkeit sich vor der Schwachstelle zu schützen oder einen Angriff zu erkennen. Denn auch mögliche Sicherheitsupdates stehen noch nicht nur Verfügung.

Wie kann die Sicherheitslücke „Follina“ ausgenutzt werden?

Windows berichtet, dass nahezu alle Windows-Rechner von der Schwachstelle mit der Bezeichnung CVE-2022-30190 betroffen sind. Die Lücke betrifft alle Windows-Betriebssysteme von Version 7 bis Version 11 sowie die Windows Server 2008 bis 2022. Konkret bedeutet dies, dass weltweit Millionen Windows-Nutzer betroffen sind. Da bisher noch kein Patch für die Sicherheitslücke bereitsteht, ermöglicht das fehlerhafte Protokoll den Cyberkriminellen schadhaften Code auf die Rechner einzuschleusen. Hierdurch können die Angreifer in einem nächsten Schritt unter anderem:

  • Computerdatenbanken durchsuchen
  • Dateien löschen
  • Daten anzeigen oder ändern
  • neue Konten erstellen
  • Programme installieren
  • das System mit Schadprogrammen infizieren

Für die Infizierung des Rechners soll es bereits ausreichen, mit dem Mauszeiger über eine heruntergeladene Office-Datei zu fahren.

Die Schwachstelle wird bereits ausgenutzt

Nach Angaben des IT-Sicherheitsunternehmens Proofpoint, wird „Follina“ bereits von einer chinesischen Gruppe von Cyberkriminellen mit der Bezeichnung „TA413“ ausgenutzt. Im Visier scheint hierbei die tibetische Exilgemeinde in Indien zu stehen, die mit manipulierten Dokumenten angegriffen wird. Die Hackergruppe soll der chinesischen Regierung nahestehen. Die Angreifer versendeten Links auf ZIP-Archive, die Word-Dokumente mit dem Exploit der Sicherheitslücke enthielten. Für den Angriff imitierten sie den „Women Empowerments Desk“ der zentral-tibetanischen Verwaltung. Obwohl sich „TA413“ bisher auf die tibetische Gesellschaft konzentrieren soll, sollen bereits auch globale Organisationen und Non-Profit-Organisationen sowie legislative Organe und europäische Diplomaten im Visier der chinesischen Hackergruppe gestanden haben.

Wie sollen sich Windows-Nutzer nun verhalten?

Da bisher noch kein Sicherheitspatch zur Verfügung gestellt wurde und von Windows auch noch nicht bekannt gegeben wurde, wann dies geschehen wird, empfiehlt das Unternehmen die Durchführung einer Notlösung. Windows-Nutzer sollten die empfohlenen Gegenmaßnahmen, nämlich die Deinstallation des Diagnosewerkzeugs, umgehend umsetzen. Bis ein Sicherheitsupdate für die Windows-Betriebssysteme bereit steht, sollte das Diagnosewerkzeug nicht mehr genutzt werden. Die Deaktivierung kann wie folgt durchgeführt werden:

  • Windows-Taste + R à Eingabeaufforderung öffnet sich
  • Eingabe von „cmd“
  • Eingabe des Befehls „reg export HKEY_CLASSES_ROOT\ms-msdt dateiname“, um ein Backup zu erstellen
  • Eingabe des Befehls „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“, um das Diagnosewerkzeug zu deaktivieren
  • Später kann das Backup mit dem Befehl „reg import dateiname“ wiederhergestellt werden

Ist die Schwachstelle im „Microsoft Support Diagnostic Tool“ schon länger bekannt?

Mittlerweile häufen sich die Hinweise darauf, dass die Schwachstelle mit der Bezeichnung CVE-2022-30190 bereits schon seit einiger Zeit bekannt zu sein scheint. So will ein IT-Sicherheitsforscher mit dem Namen „CrazymanArmy“ Windows bereits am 12. April dieses Jahres auf die Sicherheitslücke hingewiesen haben. Da Microsoft die Meldung als nicht sicherheitsrelevant einstufte, wurde sie zunächst wieder verworfen. Darüber hinaus soll es in einer Bachelorarbeit von Benjamin Altpeter an der TU Braunschweig aus dem Jahr 2020 bereits einen Hinweis auf eine solche Sicherheitslücke geben.

Weitere Informationen

Sicherheit im Internet

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Fast hundertprozentige Highspeed-Abdeckung – schnelles Internet in der U-Bahn

Fast hundertprozentige Highspeed-Abdeckung

Schnelles Internet in der U-Bahn

6. Mai 2024

Alle U-Bahn-Strecken deutschlandweit sind jetzt mit LTE-Netz versorgt. Denn der jahrelang verzögerte LTE-Ausbau in der Berliner Bahn wurde jetzt fertiggestellt. Kunden haben nun in allen U-Bahnen deutschlandweit schnelles Internet – der 5G-Ausbau ist bereits geplant. […]

Cybercrime – Schlag gegen internationales Callcenter-Betrüger-Netzwerk

Cybercrime

Schlag gegen internationales Callcenter-Betrüger-Netzwerk

3. Mai 2024

Das vermutlich größte Callcenter-Betrugsnetzwerk in Europa wurde zerschlagen. Gemeinsam mit anderen nationalen und internationalen Ermittlungsbehörden war das LKA Baden-Württemberg maßgeblich an dem Erfolg beteiligt. Insgesamt wurden 20 Personen in fünf verschiedenen Ländern festgenommen. […]

Verbraucherschutz – Shein wird wegen Verstoßes gegen EU-Recht abgemahnt

Verbraucherschutz

Shein wird wegen Verstoßes gegen EU-Recht abgemahnt

2. Mai 2024

Chinesische Online-Shops, die Billigprodukte anbieten, sind bei vielen sehr beliebt. Neben den niedrigen Preisen lockt auch das breit gefächerte Angebot. Jetzt haben Verbraucherschützer den Online-Marktplatz abgemahnt. Shein steht im Verdacht, gegen mehrere EU-Regeln zu verstoßen. […]