So beheben Sie die Microsoft „Follina“ MSDT Windows Zero-Day-Schwachstelle

Microsoft hat eine kritische Zero-Day-Schwachstelle in Windows bestätigt, die alle Hauptversionen betrifft, einschließlich Windows 11, Windows 10, Windows 8.1 und sogar Windows 7. Die Schwachstelle, identifiziert mit dem Tracker CVE-2022-30190 or Follina ermöglicht es Angreifern, Malware auf Windows remote auszuführen, ohne Windows Defender auszulösen oder andere Sicherheitssoftware. Glücklicherweise hat Microsoft eine offizielle Problemumgehung geteilt, um das Risiko zu mindern. In diesem Artikel haben wir die Schritte zum Schutz Ihrer Windows 11/10-PCs vor der neuesten Zero-Day-Schwachstelle beschrieben.

MSDT-Windows-Zero-Day-Schwachstelle „Follina“ beheben (Juni 2022)

Was ist Follina MSDT Windows Zero-Day (CVE-2022-30190) Sicherheitsanfälligkeit?

Bevor wir zu den Schritten zum Beheben der Schwachstelle kommen, wollen wir verstehen, worum es bei dem Exploit geht. Bekannt mit dem Trackercode CVE-2022-30190 ist der Zero-Day-Exploit mit dem Microsoft Support Diagnostic Tool (MSDT) verknüpft. Mit diesem Exploit können Angreifer PowerShell-Befehle aus der Ferne über MSDT ausführen, wenn sie schädliche Office-Dokumente öffnen.

„Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung besteht, wenn MSDT unter Verwendung des URL-Protokolls von einer aufrufenden Anwendung wie Word aufgerufen wird. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen. Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem von den Rechten des Benutzers erlaubten Kontext erstellen.“ erklärt Microsoft.

Wie der Forscher Kevin Beaumont erklärt, die Der Angriff verwendet die Remote-Vorlagenfunktion von Word, um eine HTML-Datei von einem Remote-Webserver abzurufen. Anschließend wird das MSProtocol-URI-Schema ms-msdt verwendet, um den Code zu laden und PowerShell-Befehle auszuführen. Als Randnotiz erhielt der Exploit den Namen „Follina“, weil die Beispieldatei auf 0438 verweist, die Vorwahl von Follina, Italien.

An dieser Stelle fragen Sie sich vielleicht, warum die geschützte Ansicht von Microsoft das Dokument nicht daran hindert, den Link zu öffnen. Nun, das liegt daran, dass die Ausführung sogar außerhalb des Bereichs von Protected View erfolgen könnte. Als Forscher John Hammond hervorgehoben Auf Twitter könnte der Link direkt aus dem Vorschaufenster des Explorers als RTF-Datei (Rich Text Format) ausgeführt werden.

Entsprechend ArsTechnicas Berichten zufolge hatten Forscher der Shadow Chaser Group Microsoft bereits am 12. April auf die Schwachstelle aufmerksam gemacht. Obwohl Microsoft eine Woche später antwortete, antwortete das Unternehmen scheint es abgetan zu haben da sie dasselbe an ihrem Ende nicht replizieren konnten. Trotzdem wird die Schwachstelle jetzt als Zero-Day gekennzeichnet, und Microsoft empfiehlt, das MSDT-URL-Protokoll als Workaround zu deaktivieren, um Ihren PC vor dem Exploit zu schützen.

Ist mein Windows-PC anfällig für den Follina-Exploit?

Auf seiner Sicherheitsupdate-Leitfadenseite hat Microsoft listet 41 Windows-Versionen auf, die für die Schwachstelle Follina CVE-2022-30190 anfällig sind. Es umfasst Windows 7-, Windows 8.1-, Windows 10-, Windows 11- und sogar Windows Server-Editionen. Sehen Sie sich die vollständige Liste der betroffenen Versionen unten an:

  • Windows 10 Version 1607 für 32-Bit-Systeme
  • Windows 10 Version 1607 für x64-basierte Systeme
  • Windows 10 Version 1809 für 32-Bit-Systeme
  • Windows 10 Version 1809 für ARM64-basierte Systeme
  • Windows 10 Version 1809 für x64-basierte Systeme
  • Windows 10 Version 20H2 für 32-Bit-Systeme
  • Windows 10 Version 20H2 für ARM64-basierte Systeme
  • Windows 10 Version 20H2 für x64-basierte Systeme
  • Windows 10 Version 21H1 für 32-Bit-Systeme
  • Windows 10 Version 21H1 für ARM64-basierte Systeme
  • Windows 10 Version 21H1 für x64-basierte Systeme
  • Windows 10 Version 21H2 für 32-Bit-Systeme
  • Windows 10 Version 21H2 für ARM64-basierte Systeme
  • Windows 10 Version 21H2 für x64-basierte Systeme
  • Windows 10 für 32-Bit-Systeme
  • Windows 10 für x64-basierte Systeme
  • Windows 11 für ARM64-basierte Systeme
  • Windows 11 für x64-basierte Systeme
  • Windows 7 für 32-Bit-Systeme Service Pack 1
  • Windows 7 für x64-basierte Systeme Service Pack 1
  • Windows 8.1 für 32-Bit-Systeme
  • Windows 8.1 für x64-basierte Systeme
  • WindowsRT 8.1
  • Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
  • Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)
  • Windows Server 2008 für 32-Bit-Systeme Service Pack 2
  • Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)
  • Windows Server 2008 für x64-basierte Systeme Service Pack 2
  • Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)
  • Windows-Server 2012
  • Windows Server 2012 (Server Core-Installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core-Installation)
  • Windows-Server 2016
  • Windows Server 2016 (Server Core-Installation)
  • Windows-Server 2019
  • Windows Server 2019 (Server Core-Installation)
  • Windows-Server 2022
  • Windows Server 2022 (Server Core-Installation)
  • Kern-Hotpatch für Windows Server 2022 Azure Edition
  • Windows Server, Version 20H2 (Server Core-Installation)

Deaktivieren Sie das MSDT-URL-Protokoll, um Windows vor der Follina-Schwachstelle zu schützen

1. Drücken Sie die Win-Taste auf Ihrer Tastatur und Geben Sie “Befehl” ein oder „Eingabeaufforderung“. Wenn das Ergebnis angezeigt wird, wählen Sie „Als Administrator ausführen“, um ein Eingabeaufforderungsfenster mit erhöhten Rechten zu öffnen.

Führen Sie die Eingabeaufforderung als Administrator unter Windows aus

2. Bevor Sie die Registrierung ändern, verwenden Sie den folgenden Befehl, um eine Sicherungskopie zu erstellen. Auf diese Weise können Sie das Protokoll wiederherstellen, sobald Microsoft einen offiziellen Patch veröffentlicht. Hier bezieht sich der Dateipfad auf den Ort, an dem Sie die .reg-Sicherungsdatei speichern möchten.

reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>
Sichern Sie Ihre Registrierung

3. Sie können jetzt den folgenden Befehl ausführen, um das MSDT-URL-Protokoll zu deaktivieren. Bei Erfolg sehen Sie im Eingabeaufforderungsfenster den Text „Der Vorgang wurde erfolgreich abgeschlossen“.

reg delete HKEY_CLASSES_ROOTms-msdt /f
Befehl zum Deaktivieren des msdt-URL-Protokolls

4. Um das Protokoll später wiederherzustellen, müssen Sie die Registrierungssicherung verwenden, die Sie im zweiten Schritt erstellt haben. Führen Sie den folgenden Befehl aus, und Sie haben wieder Zugriff auf das MSDT-URL-Protokoll.

reg import <file_path.reg>
Registrierungsschlüssel wiederherstellen

Schützen Sie Ihren Windows-PC vor MSDT Windows Zero-Day-Schwachstelle

Das sind also die Schritte, die Sie befolgen müssen, um das MSDT-URL-Protokoll auf Ihrem Windows-PC zu deaktivieren und den Follina-Exploit zu verhindern. Bis Microsoft einen offiziellen Sicherheitspatch für alle Windows-Versionen einführt, können Sie diese praktische Problemumgehung verwenden, um vor der Zero-Day-Schwachstelle CVE-2022-30190 Windows Follina MSDT geschützt zu bleiben. Apropos Schutz Ihres PCs vor bösartigen Programmen: Sie können auch erwägen, spezielle Tools zum Entfernen von Malware oder Antivirensoftware zu installieren, um sich vor anderen Viren zu schützen.

Leave a Comment

Your email address will not be published.