Zero-Day-Lücke in Microsoft Office

Am Montag, 30.05.2022, ist eine Zero-Day-Schwachstelle in Microsoft Office bekannt geworden. Betroffen sind wohl vor allem ältere Office-Versionen.

Die Sicherheitslücke ermöglicht es Angreifern, beliebigen (Schad-) Code aus dem Netz heraus auszuführen, wenn MSDT mit dem URL-Protokoll von einer Anwendung wie Word aufgerufen wird. Dadurch können Programme installiert und Daten eingesehen, verändert sowie gelöscht werden. Auch das Anlegen neuer Konten im Kontext der Nutzerrechte ist möglich. Die Gefahr besteht auch dann, wenn die Makro-Ausführung deaktiviert ist.

Der Fehler befindet sich nach Angaben von Microsoft nicht im Office-Paket selbst, sondern im Microsoft Windows Support Diagnostic Tool. Der Hersteller klassifiziert die Sicherheitslücke als hohes Risiko.

Um Angriffe zu unterbinden, hat Microsoft nun Handlungsempfehlungen veröffentlicht. Die erste Empfehlung betrifft das Deaktivieren des MSDT-URL-Protokollhandlers. Dies ist über folgendes Vorgehen möglich:

  1. Administrative Eingabeaufforderung öffnen
  2. Befehl reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname> ausführen, um den bisherigen Registry-Schlüssel in die Datei <Dateiname> zu sichern
  3. Befehl reg delete HKEY_CLASSES_ROOT\ms-msdt /f ausführen, um den betreffenden Schlüssel zu löschen
  4. Eine spätere Herstellung ist über den Befehl reg import <Dateiname> möglich.

Hinweis: Diese Maßnahme führt dazu, dass Problemlösungskomponenten nicht mehr als Links gestartet werden können, sondern nur noch über die „Hilfe erhalten“-App in den Systemeinstellungen.

Für den professionellen Microsoft Defender listet der Hersteller weitere Einstellungsoptimierungen auf. So wird empfohlen, den Cloud-Schutz und die automatische Sample-Übertragung zu aktivieren. Außerdem empfiehlt Microsoft, die Aktivierung folgender Richtlinie: BlockOfficeCreateProcessRule. Hierdurch wird eine Technik unterbunden, welche häufig in Malware-Angriffen genutzt wird. Somit wird verhindert, dass Office neue Child-Prozesse startet.

IT-Verantwortliche haben die Möglichkeit, im Microsoft 365 Defender Portal nach Hinweisen auf Angriffsversuche auf die Schwachstelle zu suchen. Diese sind an folgenden Beschreibungen zu erkennen:

  • Suspicious behavior by an Office application
  • Suspicious behavior by Msdt.exe

Beim Öffnen von Dokumenten in der „geschützten Ansucht“ scheint es keine Gefahren zu geben.

Ob und wann ein Patch zur Behebung der Sicherheitslücke erscheint, ist bisher unklar. Wir halten Sie hierzu auf dem Laufenden.

Kommen Sie bei Fragen gerne auf uns zu.

Über den Autor

Alexander Jägers ist geschäftsführender Gesellschafter der vimopro GmbH und insbesondere in den Fachbereichen IT-Security, -Strategie und -Management tätig. Darüber hinaus ist er in IT-Sicherheitskonzepten für mittelständische Unternehmen involviert und arbeitet an Fachveröffentlichungen im Bereich digitaler Transformation.
Nach oben