Eine neue Zero-Day-Schwachstelle in Microsoft Word könnte Hackern die vollständige Kontrolle über Ihren Computer verschaffen. Selbst wenn Sie eine infizierte Datei nicht öffnen, kann die Schwachstelle ausgenutzt werden.
Trotz der Tatsache, dass wir immer noch auf einen Fix warten, hat Microsoft ihn bereits bereitgestellt eine Lösung für diese Schwachstelle, wenn Sie MS Office also regelmäßig verwenden, sollten Sie es sich ansehen.
Vorsicht vor der neuen Sicherheitslücke in Microsoft Word
Microsoft Word-Schwachstelle, genannt Follina von einem der Forscher, die sie ursprünglich untersucht haben – Kevin Beaumont, der auch a langer Beitrag darüber – wurde bisher dem MSDT-Tool zugeschrieben. Es wurde ursprünglich am 27. Mai über einen Tweet von nao_sec entdeckt, obwohl Microsoft offenbar bereits im April erstmals davon erfahren hat. Obwohl noch kein Fix dafür veröffentlicht wurde, besteht die Lösung von Microsoft darin, das Microsoft Support Diagnostic Tool (MSDT) zu deaktivieren, wodurch der Exploit Zugriff auf den angegriffenen Computer erhält.
Aus Weißrussland wurde ein interessanter Maldoc eingereicht. Es verwendet den externen Link von Word, um den HTML-Code zu laden, und verwendet dann die "ms-msdt" Schema zum Ausführen von PowerShell-Code.https://t.co/hTdAfHOUx3 pic.twitter.com/rVSb02ZTwt
— nao_sec (@nao_sec) 27. Mai 2022
Die Microsoft Word-Schwachstelle ist ein Fehler bei der Remote-Codeausführung in MS Word, der hauptsächlich RTF-Dateien betrifft. Die Vorlagenfunktion von MS Word ermöglicht das Laden und Ausführen von Code aus externen Quellen, den Follina verwendet, um Zugriff auf den Computer zu erhalten, und führt dann eine Reihe von Befehlen aus, die MSDT öffnen. Unter normalen Umständen können Windows-Benutzer das Microsoft-Diagnosetool für Windows (MSDT) verwenden, um verschiedene Probleme problemlos zu lösen. Da dieses Tool leider auch Fernzugriff auf Ihren Computer ermöglicht, hilft es dem Exploit, die Kontrolle über ihn zu übernehmen.
Der Exploit kann auch funktionieren, wenn Sie die Datei im Fall von .rtf-Dateien nicht öffnen. Follina kann gestartet werden, solange Sie es im Datei-Explorer anzeigen. Sobald der Angreifer Ihren Computer über MSDT kompromittiert hat, hat er freie Hand, damit zu tun, was er will. Sie können schädliche Software herunterladen, vertrauliche Daten preisgeben und vieles mehr.
Beaumont hat in der Vergangenheit mehrere Follina-Beispiele aufgenommen, darunter auch, wie es bereits verwendet und in verschiedenen Dateien entdeckt wurde. Finanzielle Erpressung ist nur eines von vielen Dingen, für die dieser Exploit verwendet wird. Natürlich – Sie wollen das nicht auf Ihrem PC.
Was tun, bis Microsoft einen Patch veröffentlicht?
Es gibt ein paar Dinge, die Sie tun können, um die Microsoft Word-Schwachstelle zu vermeiden, bis das Unternehmen einen Patch veröffentlicht, um sie zu beheben. Die offizielle Lösung, so wie die Dinge jetzt stehen, ist die Problemumgehung; wir wissen nicht genau, was als nächstes kommt.
Überprüfen Sie zunächst, ob Ihre Office-Version von der Microsoft Word-Sicherheitslücke betroffen ist. Der Fehler wurde bisher in Office 2013, 2016, 2019, 2021, Office ProPlus und Office 365 entdeckt. Es ist nicht bekannt, ob ältere Versionen von Microsoft Office geschützt sind; Daher ist es wichtig, weitere Vorkehrungen zu treffen, um sich zu schützen.
Es ist keine schlechte Idee, die Verwendung zu vermeiden. doc-, .docx- und .rtf-Dateien, wenn Sie dies tun können. Erwägen Sie die Migration zu Cloud-basierten Diensten wie Google Docs. Akzeptieren und laden Sie nur Dateien aus zu 100 Prozent identifizierten Quellen herunter – was im Allgemeinen eine gute Faustregel ist. Übrigens können Sie alles, was Sie über Microsoft Office 2021 wissen müssen, in unserem Artikel erfahren.
Befolgen Sie schließlich die Anweisungen von Microsoft zum Deaktivieren von MSDT. Sie müssen die Eingabeaufforderung öffnen und als Administrator ausführen und dann einige Anweisungen eingeben. Wenn alles gut geht, solltest du vor Follina sicher sein. Beachten Sie jedoch, dass immer Vorsicht geboten ist.
Nachfolgend teilen wir die notwendigen Schritte mit um das MSDT-URL-Protokoll zu deaktivieren, bereitgestellt von Microsoft:
Das Deaktivieren des MSDT-URL-Protokolls verhindert, dass Fehlerbehebungen als Links gestartet werden, einschließlich Links im gesamten Betriebssystem. Auf Fehlerbehebungen kann weiterhin über zugegriffen werden Holen Sie sich Hilfe-Anwendung und in den Systemeinstellungen als andere oder zusätzliche Fehlerbehebungen. Befolgen Sie diese Schritte zum Deaktivieren:
- Laufen Eingabeaufforderung wie Administrator.
- Um den Registrierungsschlüssel zu sichern, führen Sie den Befehl „reg export HKEY_CLASSES_ROOTms-msdt Dateiname„
- Führen Sie den Befehl „reg delete HKEY_CLASSES_ROOTms-msdt /f“ aus.
So machen Sie die Problemumgehung rückgängig
Laufen Eingabeaufforderung wie Administrator.
Um den Registrierungsschlüssel wiederherzustellen, führen Sie den Befehl „reg import Dateiname”
Microsoft ist nicht das einzige Opfer von Cyberangriffen, Hacker versuchen beispielsweise, europäische Beamte anzugreifen, um Informationen über ukrainische Flüchtlinge und Vorräte zu erhalten.
