Vor wenigen Tagen wurde im hauseigenen Diagnoseprogramm zur Fehlersuche „Microsoft Support Diagnostic Tool“, kurz MSDT, eine Zero-Day-Sicherheitslücke entdeckt. Von der Schwachstelle, die auf den Namen „Follina“ getauft wurde, sind Millionen Windows-Nutzer weltweit betroffen. Die Lücke wurde bereits von Cyberkriminellen für Angriffe missbraucht.
Was versteht man unter einer Zero-Day-Sicherheitslücke?
Als Zero-Day-Sicherheitslücke wird eine Lücke bezeichnet, bei der null Tage zwischen der Entdeckung und dem ersten Cyberangriff liegen. Da die Sicherheitslücke zuvor nicht bekannt ist und von den Angreifern als erstes entdeckt wird, gibt es keine Möglichkeit sich vor der Schwachstelle zu schützen oder einen Angriff zu erkennen. Denn auch mögliche Sicherheitsupdates stehen noch nicht nur Verfügung.
Wie kann die Sicherheitslücke „Follina“ ausgenutzt werden?
Windows berichtet, dass nahezu alle Windows-Rechner von der Schwachstelle mit der Bezeichnung CVE-2022-30190 betroffen sind. Die Lücke betrifft alle Windows-Betriebssysteme von Version 7 bis Version 11 sowie die Windows Server 2008 bis 2022. Konkret bedeutet dies, dass weltweit Millionen Windows-Nutzer betroffen sind. Da bisher noch kein Patch für die Sicherheitslücke bereitsteht, ermöglicht das fehlerhafte Protokoll den Cyberkriminellen schadhaften Code auf die Rechner einzuschleusen. Hierdurch können die Angreifer in einem nächsten Schritt unter anderem:
- Computerdatenbanken durchsuchen
- Dateien löschen
- Daten anzeigen oder ändern
- neue Konten erstellen
- Programme installieren
- das System mit Schadprogrammen infizieren
Die Schwachstelle wird bereits ausgenutzt
Nach Angaben des IT-Sicherheitsunternehmens Proofpoint, wird „Follina“ bereits von einer chinesischen Gruppe von Cyberkriminellen mit der Bezeichnung „TA413“ ausgenutzt. Im Visier scheint hierbei die tibetische Exilgemeinde in Indien zu stehen, die mit manipulierten Dokumenten angegriffen wird. Die Hackergruppe soll der chinesischen Regierung nahestehen. Die Angreifer versendeten Links auf ZIP-Archive, die Word-Dokumente mit dem Exploit der Sicherheitslücke enthielten. Für den Angriff imitierten sie den „Women Empowerments Desk“ der zentral-tibetanischen Verwaltung. Obwohl sich „TA413“ bisher auf die tibetische Gesellschaft konzentrieren soll, sollen bereits auch globale Organisationen und Non-Profit-Organisationen sowie legislative Organe und europäische Diplomaten im Visier der chinesischen Hackergruppe gestanden haben.
Wie sollen sich Windows-Nutzer nun verhalten?
Da bisher noch kein Sicherheitspatch zur Verfügung gestellt wurde und von Windows auch noch nicht bekannt gegeben wurde, wann dies geschehen wird, empfiehlt das Unternehmen die Durchführung einer Notlösung. Windows-Nutzer sollten die empfohlenen Gegenmaßnahmen, nämlich die Deinstallation des Diagnosewerkzeugs, umgehend umsetzen. Bis ein Sicherheitsupdate für die Windows-Betriebssysteme bereit steht, sollte das Diagnosewerkzeug nicht mehr genutzt werden. Die Deaktivierung kann wie folgt durchgeführt werden:
- Windows-Taste + R à Eingabeaufforderung öffnet sich
- Eingabe von „cmd“
- Eingabe des Befehls „reg export HKEY_CLASSES_ROOT\ms-msdt dateiname“, um ein Backup zu erstellen
- Eingabe des Befehls „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“, um das Diagnosewerkzeug zu deaktivieren
- Später kann das Backup mit dem Befehl „reg import dateiname“ wiederhergestellt werden
Ist die Schwachstelle im „Microsoft Support Diagnostic Tool“ schon länger bekannt?
Mittlerweile häufen sich die Hinweise darauf, dass die Schwachstelle mit der Bezeichnung CVE-2022-30190 bereits schon seit einiger Zeit bekannt zu sein scheint. So will ein IT-Sicherheitsforscher mit dem Namen „CrazymanArmy“ Windows bereits am 12. April dieses Jahres auf die Sicherheitslücke hingewiesen haben. Da Microsoft die Meldung als nicht sicherheitsrelevant einstufte, wurde sie zunächst wieder verworfen. Darüber hinaus soll es in einer Bachelorarbeit von Benjamin Altpeter an der TU Braunschweig aus dem Jahr 2020 bereits einen Hinweis auf eine solche Sicherheitslücke geben.
Hinterlasse jetzt einen Kommentar