Sicherheitslücke im Microsoft Diagnose Tool (MSTD) – So wird’s behoben!

Ende Mai wurde im Microsoft Windows Support Diagnostic Tool (MSDT), einer Funktion von Microsoft Windows, eine schwerwiegende Sicherheitslücke für Remotecodeausführung (RCE) entdeckt. Microsoft erklärt, dass eine Attacke zum Beispiel über ein präpariertes Word-Dokument erfolgen kann. Darin wird das Diagnose-Tool über das URL-Protokoll «MSDT» aufgerufen. Gelingt der Angriff, kann der Angreifer «beliebigen Code mit den Rechten der aufrufenden Applikation ausführen».

Systeme updaten und Sicherheitslücke schliessen

Heute hat Microsoft im Rahmen der Patch Tuesday-Veröffentlichungen ein Update für Follina (der umgangssprachliche Name für diese Sicherheitslücke) mit der Bezeichnung CVE-2022-30190 und einem CVSS-Score von 7.3 (Hoch) veröffentlicht. Die Abkürzung CVSS steht für Common Vulnerability Scoring System. Es handelt sich hierbei um einen Standard, mit dem sich die Verwundbarkeit von Computersystemen und die Schwere von Sicherheitslücken einheitlich bewerten lässt. Die Verwundbarkeit verschiedener Systeme wird dadurch vergleichbar.

Aktualisieren Sie Microsoft-Systeme mit den Juni-Patch-Updates so bald wie möglich.  

Traditionell ist der zweite Dienstag im Monat als Patch Tuesday bekannt. Microsoft veröffentlicht an diesem Tag im Monat alle Updates für seine Betriebssysteme auf einmal und empfiehlt seinen Kunden, die Updates zu installieren, um Fehler und Sicherheitslücken zu beheben. In einigen Fällen, wenn es sich um kritische Sicherheitslücken handelt, veröffentlicht Microsoft Patches ausserhalb des Patch Tuesday.

Sophos MTR - Wie schütze ich mich vor solchen Sicherheitslücken? 

Sophos führt weiterhin Bedrohungsjagden durch, um potenzielle Hinweise für verdächtige Aktivitäten und Anzeichen für Post-Exploitation-Taktiken zu identifizieren.

  • Sophos veröffentlicht weiterhin neue Schutzmassnahmen gegen diese Bedrohung, einschliesslich Endpoint- und netzwerkbasierter Schutzmassnahmen.
  • Das MTR-Team hat neue Erkennungsinhalte veröffentlicht, die speziell auf die von Sophos beobachteten Exploit-Aktivitäten abzielen.
  • Wenn in Ihrem Unternehmen Anzeichen für Post-Exploit-Aktivitäten beobachtet werden, wird das MTR-Team gemäss Ihren Vorgaben tätig.
  • Sophos beobachtet ständig, ob sich das Verhalten der Angreifer ändert, damit Ihre Anlage besser überwacht und geschützt ist.

Mehr zu Sophos MTR.