Achtung: gefährliche Sicherheitslücke – Millionen Windows-Nutzer betroffen

2. Juni 2022 Lesedauer: 3 Minuten

Sicherheitslücke

Vor wenigen Tagen wurde im hauseigenen Diagnoseprogramm zur Fehlersuche „Microsoft Support Diagnostic Tool“, kurz MSDT, eine Zero-Day-Sicherheitslücke entdeckt. Von der Schwachstelle, die auf den Namen „Follina“ getauft wurde, sind Millionen Windows-Nutzer weltweit betroffen. Die Lücke wurde bereits von Cyberkriminellen für Angriffe missbraucht.

Was versteht man unter einer Zero-Day-Sicherheitslücke?

Als Zero-Day-Sicherheitslücke wird eine Lücke bezeichnet, bei der null Tage zwischen der Entdeckung und dem ersten Cyberangriff liegen. Da die Sicherheitslücke zuvor nicht bekannt ist und von den Angreifern als erstes entdeckt wird, gibt es keine Möglichkeit sich vor der Schwachstelle zu schützen oder einen Angriff zu erkennen. Denn auch mögliche Sicherheitsupdates stehen noch nicht nur Verfügung.

Wie kann die Sicherheitslücke „Follina“ ausgenutzt werden?

Windows berichtet, dass nahezu alle Windows-Rechner von der Schwachstelle mit der Bezeichnung CVE-2022-30190 betroffen sind. Die Lücke betrifft alle Windows-Betriebssysteme von Version 7 bis Version 11 sowie die Windows Server 2008 bis 2022. Konkret bedeutet dies, dass weltweit Millionen Windows-Nutzer betroffen sind. Da bisher noch kein Patch für die Sicherheitslücke bereitsteht, ermöglicht das fehlerhafte Protokoll den Cyberkriminellen schadhaften Code auf die Rechner einzuschleusen. Hierdurch können die Angreifer in einem nächsten Schritt unter anderem:

  • Computerdatenbanken durchsuchen
  • Dateien löschen
  • Daten anzeigen oder ändern
  • neue Konten erstellen
  • Programme installieren
  • das System mit Schadprogrammen infizieren

Für die Infizierung des Rechners soll es bereits ausreichen, mit dem Mauszeiger über eine heruntergeladene Office-Datei zu fahren.

Die Schwachstelle wird bereits ausgenutzt

Nach Angaben des IT-Sicherheitsunternehmens Proofpoint, wird „Follina“ bereits von einer chinesischen Gruppe von Cyberkriminellen mit der Bezeichnung „TA413“ ausgenutzt. Im Visier scheint hierbei die tibetische Exilgemeinde in Indien zu stehen, die mit manipulierten Dokumenten angegriffen wird. Die Hackergruppe soll der chinesischen Regierung nahestehen. Die Angreifer versendeten Links auf ZIP-Archive, die Word-Dokumente mit dem Exploit der Sicherheitslücke enthielten. Für den Angriff imitierten sie den „Women Empowerments Desk“ der zentral-tibetanischen Verwaltung. Obwohl sich „TA413“ bisher auf die tibetische Gesellschaft konzentrieren soll, sollen bereits auch globale Organisationen und Non-Profit-Organisationen sowie legislative Organe und europäische Diplomaten im Visier der chinesischen Hackergruppe gestanden haben.

Wie sollen sich Windows-Nutzer nun verhalten?

Da bisher noch kein Sicherheitspatch zur Verfügung gestellt wurde und von Windows auch noch nicht bekannt gegeben wurde, wann dies geschehen wird, empfiehlt das Unternehmen die Durchführung einer Notlösung. Windows-Nutzer sollten die empfohlenen Gegenmaßnahmen, nämlich die Deinstallation des Diagnosewerkzeugs, umgehend umsetzen. Bis ein Sicherheitsupdate für die Windows-Betriebssysteme bereit steht, sollte das Diagnosewerkzeug nicht mehr genutzt werden. Die Deaktivierung kann wie folgt durchgeführt werden:

  • Windows-Taste + R à Eingabeaufforderung öffnet sich
  • Eingabe von „cmd“
  • Eingabe des Befehls „reg export HKEY_CLASSES_ROOT\ms-msdt dateiname“, um ein Backup zu erstellen
  • Eingabe des Befehls „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“, um das Diagnosewerkzeug zu deaktivieren
  • Später kann das Backup mit dem Befehl „reg import dateiname“ wiederhergestellt werden

Ist die Schwachstelle im „Microsoft Support Diagnostic Tool“ schon länger bekannt?

Mittlerweile häufen sich die Hinweise darauf, dass die Schwachstelle mit der Bezeichnung CVE-2022-30190 bereits schon seit einiger Zeit bekannt zu sein scheint. So will ein IT-Sicherheitsforscher mit dem Namen „CrazymanArmy“ Windows bereits am 12. April dieses Jahres auf die Sicherheitslücke hingewiesen haben. Da Microsoft die Meldung als nicht sicherheitsrelevant einstufte, wurde sie zunächst wieder verworfen. Darüber hinaus soll es in einer Bachelorarbeit von Benjamin Altpeter an der TU Braunschweig aus dem Jahr 2020 bereits einen Hinweis auf eine solche Sicherheitslücke geben.

Weitere Informationen

Sicherheit im Internet

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Nachhaltige Optionen – Google-Maps zeigt Alternativen zum Autofahren

Nachhaltige Optionen

Google-Maps zeigt Alternativen zum Autofahren

24. April 2024

Der Tech-Riese Google will die Nutzer seiner Maps-App zur Nutzung von nachhaltigen Verkehrsmitteln animieren. Hierzu werden zahlreiche Änderungen im Routenplaner vorgenommen. Mit dem neuen Feature sollen leichter umweltbewusste Entscheidungen getroffen werden können. […]

Achtung, Betrug – so können KI-Fake-Anrufe enttarnt werden

Achtung, Betrug

So können KI-Fake-Anrufe enttarnt werden

19. April 2024

Betrügerische Anrufe und Nachrichten sind aufgrund des Einsatzes von Künstlicher Intelligenz immer schwieriger zu erkennen. Um sich dennoch vor den betrügerischen Absichten zu schützen, hilft eine Frage, die bei einem vermeintlichen Hilfeanruf gestellt werden kann. […]

Unzulässige Internet-Sportwetten – Spieler können Einsatz zurückfordern

Unzulässige Internet-Sportwetten

Spieler können Einsatz zurückfordern

18. April 2024

Spieler können ihre im Internet verlorenen Wetteinsätze von ausländischen Anbietern zurückfordern. Nämlich dann, wenn der Anbieter der Online-Sportwetten zu diesem Zeitpunkt keine gültige Lizenz für Deutschland hatte. Dies hat der Bundesgerichtshof entschieden. […]