So beheben Sie die Microsoft „Follina“ MSDT Windows Zero-Day-Schwachstelle

von

Microsoft hat eine kritische Zero-Day-Schwachstelle in Windows bestätigt, die alle wichtigen Versionen betrifft, einschließlich Windows 11, Windows 10, Windows 8.1 und sogar Windows 7. Die Schwachstelle, die mit dem Tracker CVE-2022-30190 oder Follina identifiziert wird, ermöglicht es Angreifern, aus der Ferne auszuführen Malware unter Windows, ohne Windows Defender oder andere Sicherheitssoftware auszulösen. Glücklicherweise hat Microsoft eine offizielle Problemumgehung geteilt, um das Risiko zu mindern. In diesem Artikel haben wir die Schritte zum Schutz Ihrer Windows 11/10-PCs vor der neuesten Zero-Day-Schwachstelle beschrieben.

MSDT-Windows-Zero-Day-Schwachstelle „Follina“ beheben (Juni 2022)

Was ist Follina MSDT Windows Zero-Day (CVE-2022-30190) Sicherheitsanfälligkeit?

Bevor wir zu den Schritten zum Beheben der Schwachstelle kommen, wollen wir verstehen, worum es bei dem Exploit geht. Der unter dem Tracker-Code CVE-2022-30190 bekannte Zero-Day-Exploit ist mit dem Microsoft Support Diagnostic Tool (MSDT) verknüpft. Mit diesem Exploit können Angreifer PowerShell-Befehle aus der Ferne über MSDT ausführen, wenn sie schädliche Office-Dokumente öffnen.

„Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung besteht, wenn MSDT unter Verwendung des URL-Protokolls von einer aufrufenden Anwendung wie Word aufgerufen wird. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen. Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem von den Rechten des Benutzers erlaubten Kontext erstellen“, erklärt Microsoft.

Wie der Forscher Kevin Beaumont erklärt, verwendet der Angriff die Remote-Vorlagenfunktion von Word, um eine HTML-Datei von einem Remote-Webserver abzurufen. Anschließend wird das MSProtocol-URI-Schema ms-msdt verwendet, um den Code zu laden und PowerShell-Befehle auszuführen. Als Randnotiz erhielt der Exploit den Namen „Follina“, weil die Beispieldatei auf 0438 verweist, die Vorwahl von Follina, Italien.

  So zeichnen Sie Ihren Bildschirm mit dem VLC-Player unter Windows 10 auf

An dieser Stelle fragen Sie sich vielleicht, warum die geschützte Ansicht von Microsoft das Dokument nicht daran hindert, den Link zu öffnen. Nun, das liegt daran, dass die Ausführung sogar außerhalb des Bereichs von Protected View erfolgen könnte. Wie der Forscher John Hammond auf Twitter betonte, könnte der Link direkt aus dem Vorschaufenster des Explorers als RTF-Datei (Rich Text Format) ausgeführt werden.

Laut dem Bericht von ArsTechnica hatten Forscher der Shadow Chaser Group Microsoft bereits am 12. April auf die Schwachstelle aufmerksam gemacht. Obwohl Microsoft eine Woche später antwortete, scheint das Unternehmen sie verworfen zu haben, da sie dasselbe auf ihrer Seite nicht replizieren konnten. Trotzdem wird die Schwachstelle jetzt als Zero-Day gekennzeichnet, und Microsoft empfiehlt, das MSDT-URL-Protokoll als Workaround zu deaktivieren, um Ihren PC vor dem Exploit zu schützen.

Ist mein Windows-PC anfällig für den Follina-Exploit?

Auf seiner Sicherheitsupdate-Leitfadenseite hat Microsoft 41 Windows-Versionen aufgelistet, die für die Schwachstelle Follina CVE-2022-30190 anfällig sind. Es umfasst Windows 7-, Windows 8.1-, Windows 10-, Windows 11- und sogar Windows Server-Editionen. Sehen Sie sich die vollständige Liste der betroffenen Versionen unten an:

  • Windows 10 Version 1607 für 32-Bit-Systeme
  • Windows 10 Version 1607 für x64-basierte Systeme
  • Windows 10 Version 1809 für 32-Bit-Systeme
  • Windows 10 Version 1809 für ARM64-basierte Systeme
  • Windows 10 Version 1809 für x64-basierte Systeme
  • Windows 10 Version 20H2 für 32-Bit-Systeme
  • Windows 10 Version 20H2 für ARM64-basierte Systeme
  • Windows 10 Version 20H2 für x64-basierte Systeme
  • Windows 10 Version 21H1 für 32-Bit-Systeme
  • Windows 10 Version 21H1 für ARM64-basierte Systeme
  • Windows 10 Version 21H1 für x64-basierte Systeme
  • Windows 10 Version 21H2 für 32-Bit-Systeme
  • Windows 10 Version 21H2 für ARM64-basierte Systeme
  • Windows 10 Version 21H2 für x64-basierte Systeme
  • Windows 10 für 32-Bit-Systeme
  • Windows 10 für x64-basierte Systeme
  • Windows 11 für ARM64-basierte Systeme
  • Windows 11 für x64-basierte Systeme
  • Windows 7 für 32-Bit-Systeme Service Pack 1
  • Windows 7 für x64-basierte Systeme Service Pack 1
  • Windows 8.1 für 32-Bit-Systeme
  • Windows 8.1 für x64-basierte Systeme
  • WindowsRT 8.1
  • Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
  • Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation)
  • Windows Server 2008 für 32-Bit-Systeme Service Pack 2
  • Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)
  • Windows Server 2008 für x64-basierte Systeme Service Pack 2
  • Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)
  • Windows-Server 2012
  • Windows Server 2012 (Server Core-Installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core-Installation)
  • Windows-Server 2016
  • Windows Server 2016 (Server Core-Installation)
  • Windows-Server 2019
  • Windows Server 2019 (Server Core-Installation)
  • Windows-Server 2022
  • Windows Server 2022 (Server Core-Installation)
  • Kern-Hotpatch für Windows Server 2022 Azure Edition
  • Windows Server, Version 20H2 (Server Core-Installation)
  So zentrieren und ändern Sie die Größe von App-Fenstern unter Windows 10

Deaktivieren Sie das MSDT-URL-Protokoll, um Windows vor der Follina-Schwachstelle zu schützen

1. Drücken Sie die Win-Taste auf Ihrer Tastatur und geben Sie „Cmd“ oder „Command Prompt“ ein. Wenn das Ergebnis angezeigt wird, wählen Sie „Als Administrator ausführen“, um ein Eingabeaufforderungsfenster mit erhöhten Rechten zu öffnen.

2. Bevor Sie die Registrierung ändern, verwenden Sie den folgenden Befehl, um eine Sicherungskopie zu erstellen. Auf diese Weise können Sie das Protokoll wiederherstellen, sobald Microsoft einen offiziellen Patch veröffentlicht. Hier bezieht sich der Dateipfad auf den Ort, an dem Sie die .reg-Sicherungsdatei speichern möchten.

reg export HKEY_CLASSES_ROOTms-msdt <file_path.reg>

3. Sie können jetzt den folgenden Befehl ausführen, um das MSDT-URL-Protokoll zu deaktivieren. Bei Erfolg sehen Sie im Eingabeaufforderungsfenster den Text „Der Vorgang wurde erfolgreich abgeschlossen“. 

reg delete HKEY_CLASSES_ROOTms-msdt /f

4. Um das Protokoll später wiederherzustellen, müssen Sie die Registrierungssicherung verwenden, die Sie im zweiten Schritt erstellt haben. Führen Sie den folgenden Befehl aus, und Sie haben wieder Zugriff auf das MSDT-URL-Protokoll.

reg import <file_path.reg>

Schützen Sie Ihren Windows-PC vor MSDT Windows Zero-Day-Schwachstelle

Das sind also die Schritte, die Sie befolgen müssen, um das MSDT-URL-Protokoll auf Ihrem Windows-PC zu deaktivieren und den Follina-Exploit zu verhindern. Bis Microsoft einen offiziellen Sicherheitspatch für alle Windows-Versionen einführt, können Sie diese praktische Problemumgehung verwenden, um vor der Zero-Day-Schwachstelle CVE-2022-30190 Windows Follina MSDT geschützt zu bleiben. Apropos Schutz Ihres PCs vor bösartigen Programmen: Sie können auch erwägen, spezielle Tools zum Entfernen von Malware oder Antivirensoftware zu installieren, um sich vor anderen Viren zu schützen.

  So komprimieren (und entpacken) Sie Dateien unter Windows 10