CVE-2022-30190 - Remote Code Execution in Microsoft Windows Support Diagnostic Tool (MSDT)

Beschreibung:

Microsoft hat einen Workaround zur vorläufigen Lösung der Schwachstelle herausgebracht. Die Schwachstelle erlaubt es, durch bösartig manipulierte Office-Dokumente Schadcode einzuschleusen. Die Schwachstelle nutzt den URI Handler des Microsoft Windows Support Diagnostic Tool (MSDT), um so weiteren Code nachzuladen und Powershell-Code auszuführen.

Betroffene Systeme:

Microsoft Office

Behobene Versionen:

Aktuell gibt es keinen offiziellen Patch. Ein Workaround wurde von Microsoft beschrieben.

Empfohlene Maßnahmen:

Um den URI-Handler von MSDT zu entfernen, muss zuerst der bereits vorhandene Registry-Key exportiert werden: reg export HKEY_CLASSES_ROOT\ms-msdt Danach muss der Registry gelöscht werden, um die Schwachstelle vorübergehend zu beheben: reg delete HKEY_CLASSES_ROOT\ms-msdt /f Microsoft Defender for Endpoint Kunden können weiter Optimierungen aktivieren: Automatische Sample-Optimierungen sollen aktiviert werden und die Richtlinie BlockOfficeCreateProcessRule soll ebenfalls aktiviert werden.

Einschätzung der Bedrohung:

Es gibt bereits online verfügbare bösartige Dokument

Weiterführende Links:

https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/#:~:text=On%20Monday%20May%2030%2C%202022,calling%20application%20such%20as%20Word.

https://www.heise.de/news/Zero-Day-Luecke-in-MS-Office-Microsoft-gibt-Empfehlungen-7126993.html