Am 30.05.2022 veröffentlichte Microsoft Details und Mitigationsmaßnahmen zu einer Schwachstelle in Microsofts Support Diagnostic Tool (MSDT) über das Microsoft Security Response Center (siehe [MIC2022a]).
Die Schwachstelle kann mithilfe einer präparierten Word-Datei ausgenutzt werden, wodurch Angreifende womöglich in die Lage versetzt werden, auf Basis der im Dokumentenverarbeitungsprogramm enthaltenen Remote Template-Funktion den Download einer HTML-Datei aus dem Internet anzustoßen. Dies kann zur weiteren Ausführung von PowerShell-Code missbraucht werden, wodurch Angreifende Programme installieren, Daten anzeigen, ändern oder löschen könnten.
Betroffen sind nach bisher gesichteten Medienberichten:
Sehr problematisch ist dabei das rich Text Format (.rtf). Bei derartigen Dateien wird der Schadcode bereits ausgeführt, wenn man die Datei herunterlädt und im Datei-System auswählt. Hier reicht das Laden der Preview (Vorschau) zum Ausführen des Schadcodes. Bis zum Patch sollten diese Dateien idealerweise vom Spamfilter des E-Mail-Programms geblockt werden.
Betroffen sind die folgenden Dateitypen: .docx, .pptx, .xlsx, aber auch die älteren Formate: .doc, .xls, .ppt. Bei regulären Word-Dateien wird der Schadcode auch dann ausgeführt, wenn Macros deaktiviert sind. Sofern Ihr System also bereits entsprechende Dateien erkennt und blockiert (z.B. .docm), bietet dies leider keinen Schutz.
Aus diesem Grund sollten alle Nutzer darauf hingewiesen werden, Word-Dokumente aus nicht vertrauenswürdigen Quellen bis zum Patch vorerst nicht zu öffnen.
Ansonsten gibt es einen vorläufigen Workaround, der aber gewisse Funktionalitäten von Office ebenfalls beeinträchtigt. Das BSI empfiehlt dringend, bis zur Bereitstellung eines Patches durch den Hersteller, die Umsetzung der genannten Workarounds zu prüfen.
Microsoft rät in seinem Blogbeitrag dazu, den MSDT-URL-Protokollhandler zu deaktivieren (siehe [MIC2022a]). Hiermit gehen jedoch auch Beeinträchtigungen der Problemlösungskomponente einher. Die Deaktivierung des MSDT-URL-Protokollhandlers kann von Ihrer IT/Administration in drei Schritten vorgenommen werden:
Links
[MIC2022a] Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerabilityhttps://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
[MIC2022b] Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerabilityhttps://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190