Achtung: gefährliche Sicherheitslücke – Millionen Windows-Nutzer betroffen

Sicherheitslücke

Vor wenigen Tagen wurde im hauseigenen Diagnoseprogramm zur Fehlersuche „Microsoft Support Diagnostic Tool“, kurz MSDT, eine Zero-Day-Sicherheitslücke entdeckt. Von der Schwachstelle, die auf den Namen „Follina“ getauft wurde, sind Millionen Windows-Nutzer weltweit betroffen. Die Lücke wurde bereits von Cyberkriminellen für Angriffe missbraucht.

Was versteht man unter einer Zero-Day-Sicherheitslücke?

Als Zero-Day-Sicherheitslücke wird eine Lücke bezeichnet, bei der null Tage zwischen der Entdeckung und dem ersten Cyberangriff liegen. Da die Sicherheitslücke zuvor nicht bekannt ist und von den Angreifern als erstes entdeckt wird, gibt es keine Möglichkeit sich vor der Schwachstelle zu schützen oder einen Angriff zu erkennen. Denn auch mögliche Sicherheitsupdates stehen noch nicht nur Verfügung.

Wie kann die Sicherheitslücke „Follina“ ausgenutzt werden?

Windows berichtet, dass nahezu alle Windows-Rechner von der Schwachstelle mit der Bezeichnung CVE-2022-30190 betroffen sind. Die Lücke betrifft alle Windows-Betriebssysteme von Version 7 bis Version 11 sowie die Windows Server 2008 bis 2022. Konkret bedeutet dies, dass weltweit Millionen Windows-Nutzer betroffen sind. Da bisher noch kein Patch für die Sicherheitslücke bereitsteht, ermöglicht das fehlerhafte Protokoll den Cyberkriminellen schadhaften Code auf die Rechner einzuschleusen. Hierdurch können die Angreifer in einem nächsten Schritt unter anderem:

  • Computerdatenbanken durchsuchen
  • Dateien löschen
  • Daten anzeigen oder ändern
  • neue Konten erstellen
  • Programme installieren
  • das System mit Schadprogrammen infizieren

Für die Infizierung des Rechners soll es bereits ausreichen, mit dem Mauszeiger über eine heruntergeladene Office-Datei zu fahren.

Die Schwachstelle wird bereits ausgenutzt

Nach Angaben des IT-Sicherheitsunternehmens Proofpoint, wird „Follina“ bereits von einer chinesischen Gruppe von Cyberkriminellen mit der Bezeichnung „TA413“ ausgenutzt. Im Visier scheint hierbei die tibetische Exilgemeinde in Indien zu stehen, die mit manipulierten Dokumenten angegriffen wird. Die Hackergruppe soll der chinesischen Regierung nahestehen. Die Angreifer versendeten Links auf ZIP-Archive, die Word-Dokumente mit dem Exploit der Sicherheitslücke enthielten. Für den Angriff imitierten sie den „Women Empowerments Desk“ der zentral-tibetanischen Verwaltung. Obwohl sich „TA413“ bisher auf die tibetische Gesellschaft konzentrieren soll, sollen bereits auch globale Organisationen und Non-Profit-Organisationen sowie legislative Organe und europäische Diplomaten im Visier der chinesischen Hackergruppe gestanden haben.

Wie sollen sich Windows-Nutzer nun verhalten?

Da bisher noch kein Sicherheitspatch zur Verfügung gestellt wurde und von Windows auch noch nicht bekannt gegeben wurde, wann dies geschehen wird, empfiehlt das Unternehmen die Durchführung einer Notlösung. Windows-Nutzer sollten die empfohlenen Gegenmaßnahmen, nämlich die Deinstallation des Diagnosewerkzeugs, umgehend umsetzen. Bis ein Sicherheitsupdate für die Windows-Betriebssysteme bereit steht, sollte das Diagnosewerkzeug nicht mehr genutzt werden. Die Deaktivierung kann wie folgt durchgeführt werden:

  • Windows-Taste + R à Eingabeaufforderung öffnet sich
  • Eingabe von „cmd“
  • Eingabe des Befehls „reg export HKEY_CLASSES_ROOT\ms-msdt dateiname“, um ein Backup zu erstellen
  • Eingabe des Befehls „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“, um das Diagnosewerkzeug zu deaktivieren
  • Später kann das Backup mit dem Befehl „reg import dateiname“ wiederhergestellt werden

Ist die Schwachstelle im „Microsoft Support Diagnostic Tool“ schon länger bekannt?

Mittlerweile häufen sich die Hinweise darauf, dass die Schwachstelle mit der Bezeichnung CVE-2022-30190 bereits schon seit einiger Zeit bekannt zu sein scheint. So will ein IT-Sicherheitsforscher mit dem Namen „CrazymanArmy“ Windows bereits am 12. April dieses Jahres auf die Sicherheitslücke hingewiesen haben. Da Microsoft die Meldung als nicht sicherheitsrelevant einstufte, wurde sie zunächst wieder verworfen. Darüber hinaus soll es in einer Bachelorarbeit von Benjamin Altpeter an der TU Braunschweig aus dem Jahr 2020 bereits einen Hinweis auf eine solche Sicherheitslücke geben.

Weitere Informationen

Sicherheit im Internet

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


15 − 10 =

Die aktuellsten telespiegel Nachrichten
Elektroschrott – neue Rücknahme-Pflicht tritt am 1. Juli in Kraft

Elektroschrott

Neue Rücknahme-Pflicht tritt am 1. Juli in Kraft

Deutschland gehört zu den zehn Ländern weltweit, die jährlich am meisten Elektroschrott verursachen. Ab dem 1. Juli können Altgeräte nun auch in Discountern und Lebensmittelläden abgegeben werden. Hierdurch soll eine verbraucherfreundliche Rückgabemöglichkeit geschaffen werden. […]

Verbraucherschutz – ab dem 1. Juli ist der Kündigungsbutton Pflicht

Verbraucherschutz

Ab dem 1. Juli ist der Kündigungsbutton Pflicht

In wenigen Tagen tritt eine neue Regelung in Kraft, die den Verbraucherschutz weiter stärken soll. Unternehmen, die Vertragsabschlüsse über ihre Webseite anbieten, müssen dann einen sogenannten Kündigungsbutton einrichten, der die Kündigung erleichtern soll. […]

Betrugsmasche in Facebook – Trickbetrüger geben sich als Prominente aus

Betrugsmasche in Facebook

Trickbetrüger geben sich als Prominente aus

Im Glauben daran, eine Familienbeihilfe in Höhe von 30 000 Euro zu erhalten, überwies eine Seniorin aus der Nähe von Hannover mehr als 2 200 Euro an Betrüger. Diese hatten sich zuvor auf Facebook als bekannter Politiker ausgegeben. […]

Telegram-Premiumversion – exklusive Features gegen monatliche Gebühr

Telegram-Premiumversion

Exklusive Features gegen monatliche Gebühr

Telegram geht als erster großer Messenger-Dienst den Schritt und führt eine kostenpflichtige Premium-Version ein. User, die diese Mitgliedschaft abschließen, können auf exklusive Features zurückgreifen, die in der Basisversion nicht zur Verfügung stehen. Auch WhatsApp könnte bald auf ein ähnliches Modell setzen. […]