Microsoft hat eine Anleitung für eine neu entdeckte Schwachstelle in MSDT (Microsoft Support Diagnostic Tool) veröffentlicht. Diese Sicherheitslücke wurde kürzlich von den Forschern entdeckt und als Zero-Day Remote Code Execution-Schwachstelle identifiziert, und Microsoft verfolgt sie jetzt als CVE-2022-30190. Diese Sicherheitslücke kann Berichten zufolge alle Versionen von Windows-PCs betreffen, auf denen das MSDT-URI-Protokoll aktiviert ist.

Laut dem von MSRC eingereichten Blogbeitrag wird Ihr Computer anfällig für diesen Angriff, wenn das Microsoft Support Diagnostic Tool mithilfe des URL-Protokolls von aufrufenden Anwendungen wie MS Word aufgerufen wird. Die Angreifer können diese Schwachstelle durch manipulierte URLs ausnutzen, die das MSDT-URL-Protokoll verwenden.

„Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen. Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem von den Rechten des Benutzers erlaubten Kontext erstellen“, sagt er Microsoft.

Nun, das Gute ist, dass Microsoft einige Problemumgehungen für diese Schwachstelle veröffentlicht hat.

Schützen Sie Windows vor der Sicherheitslücke im Microsoft Support-Diagnosetool

Deaktivieren Sie das MSDT-URL-Protokoll

Da die Angreifer diese Schwachstelle über das MSDT-URL-Protokoll ausnutzen können, kann sie durch Deaktivieren des MSDT-URL-Protokolls behoben werden. Dadurch werden die Problembehandlungen nicht als Links gestartet. Sie können jedoch weiterhin auf die Fehlerbehebung zugreifen, indem Sie die Funktion „Hilfe abrufen“ auf Ihrem System verwenden.

So deaktivieren Sie das MSDT-URL-Protokoll:

  • Geben Sie CMD in die Windows-Suchoption ein und klicken Sie auf Als Administrator ausführen.
  • Führen Sie zuerst den Befehl aus, reg export HKEY_CLASSES_ROOTms-msdt regbackupmsdt.reg um den Registrierungsschlüssel zu sichern.
  • Führen Sie dann den Befehl aus reg delete HKEY_CLASSES_ROOTms-msdt /f.

Wenn Sie dies rückgängig machen möchten, führen Sie die Eingabeaufforderung erneut als Administrator aus und führen Sie den Befehl aus. reg import regbackupmsdt.reg. Denken Sie daran, denselben Dateinamen zu verwenden, den Sie im vorherigen Befehl verwendet haben.

Aktivieren Sie Microsoft Defender-Erkennungen und -Schutzmaßnahmen

Als Nächstes können Sie diese Schwachstelle vermeiden, indem Sie den von der Cloud bereitgestellten Schutz und die automatische Musterübermittlung aktivieren. Auf diese Weise kann Ihre Maschine mithilfe künstlicher Intelligenz mögliche Bedrohungen schnell erkennen und stoppen.

Wenn Sie Microsoft Defender für Endpoint-Kunden sind, können Sie die Office-Apps einfach daran hindern, untergeordnete Prozesse zu erstellen, indem Sie die Regel zur Reduzierung der Angriffsfläche aktivieren.BlockOfficeCreateProcessRule“.

Gemäß Microsoft bietet Microsoft Defender Antivirus Build 1.367.851.0 und höher Erkennungen und Schutz für mögliche Ausnutzung von Sicherheitslücken wie

  • Trojan:Win32/Mesdetty.A(blockiert die msdt-Befehlszeile)
  • Trojan:Win32/Mesdetty.B(blockiert die msdt-Befehlszeile)
  • Behavior:Win32/MesdettyLaunch.A!blk (beendet den Prozess, der die msdt-Befehlszeile gestartet hat)
  • Trojan:Win32/MesdettyScript.A (um HTML-Dateien zu erkennen, die einen verdächtigen msdt-Befehl enthalten, der gelöscht wird)
  • Trojan:Win32/MesdettyScript.B (um HTML-Dateien zu erkennen, die einen verdächtigen msdt-Befehl enthalten, der gelöscht wird)

Obwohl die von Microsoft vorgeschlagenen Problemumgehungen die Angriffe stoppen können, ist es dennoch keine narrensichere Lösung, da die anderen Fehlerbehebungsassistenten weiterhin zugänglich sind. Um diese Bedrohung zu vermeiden, müssen wir auch andere Fehlerbehebungsassistenten deaktivieren.

Deaktivieren Sie die Fehlerbehebungsassistenten mit dem Gruppenrichtlinien-Editor

Benjamin Delphy hat eine bessere Lösung getwittert, bei der wir die anderen Troubleshooter auf unserem PC mit dem Gruppenrichtlinien-Editor deaktivieren können.

  • Drücken Sie Win+R, um das Dialogfeld Ausführen zu öffnen, und geben Sie ein gpedit.msc um den Gruppenrichtlinien-Editor zu öffnen.
  • Gehen Sie zu Computerkonfiguration > Administrative Vorlagen > System > Problembehandlung und Diagnose > Skriptbasierte Diagnose
  • Doppelklicken Sie auf Fehlerbehebung: Benutzern erlauben, auf Fehlerbehebungsassistenten zuzugreifen und diese auszuführen
  • Aktivieren Sie im Popup-Fenster das Kontrollkästchen Deaktiviert und klicken Sie auf Ok.

Deaktivieren Sie die Fehlerbehebungsassistenten mit dem Registrierungseditor

Falls Sie den Gruppenrichtlinien-Editor nicht auf Ihrem PC haben, können Sie den Registrierungseditor verwenden, um die Fehlerbehebungsassistenten zu deaktivieren. Drücken Sie dazu Win+R

  • Führen Sie das Dialogfeld aus und geben Sie Regedit ein, um den Registrierungseditor zu öffnen.
  • Gehe zu ComputerHKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsScriptedDiagnostics.
  • Wenn Sie den Schlüssel Scripted Diagnostic in Ihrem Registrierungseditor nicht sehen, klicken Sie mit der rechten Maustaste auf den Safer-Schlüssel und klicken Sie auf Neu > Schlüssel.
  • Benennen Sie es als ScriptedDiagnostics.
  • Klicken Sie mit der rechten Maustaste auf Scripted Diagnostics und klicken Sie im rechten Bereich mit der rechten Maustaste auf das Leerzeichen und wählen Sie New > Dword (32-bit) Value und benennen Sie es EnableDiagnostics. Stellen Sie sicher, dass sein Wert ist 0.
  • Schließen Sie den Registrierungseditor und starten Sie Ihren PC neu.

Hoffe das hilft.

Schwachstelle im Microsoft-Support-Diagnosetool