Cybergangs greifen MSDT Sicherheitslücke an

Microsoft ordnete das Problem erst fälschlicher Weise als irrelevant ein.
Die Anfang dieser Woche entdeckte Zero-Day Sicherheitslücke in Microsofts Support Tool MSDT wurde offenbar von Cybergangs entdeckt. Das IT-Sicherheitsunternehmen Proofpoint berichtet von einer chinesischen Cybergang, die mit bösartig manipulierten Dokumenten insbesondere die Mitglieder der internationalen tibetanischen Gemeinschaft angreifen – und dazu die Zero-Day Lücke missbrauchen. Die chinesische Cybergang mit der Bezeichnung TA413 hat sich in der Vergangenheit bisherigen Erkenntnissen zufolge darauf konzentriert, Mitglieder der tibetanischen Community anzugreifen. Aber auch europäische Diplomaten, legislative Organe, Non-Profit Organisationen und globale Organisationen aus dem ökonomischen Bereich waren Berichten zufolge bereits im Visier von TA413.

In den jetzt beobachteten Attacken verschickten die Kriminellen Links auf ZIP Archive, die ihrerseits Word Dokumente mit dem Exploit der Schwachstelle enthielten. Die Kampagne imitiere den „Women Empowerments Desk“ (Referat zur Frauenförderung) der zentral tibetanischen Verwaltung.
Auch die US amerikanische Cyber Sicherheitsbehörde CISA warnt vor der Zero-Day Schwachstelle und rät IT-Administratoren, den bekannten Workaround anzuwenden. Die Warnung erfolgt mit dem Hinweis, dass Microsoft inzwischen aktiven Missbrauch der Lücke in freier Wildbahn vermeldet.

Es häufen sich zudem Hinweise, dass die Sicherheitslücke bereits vor längerer Zeit aufgefallen ist. So hat der IT Sicherheitsforscher „Crazyman Army“ auf Twitter Screenshots vom Verlauf einer Fehlermeldung an Microsoft gepostet, die zeigen, dass er die Schwachstelle initial bereits am 12. April dieses Jahres gemeldet hatte. Microsoft stufte das zunächst jedoch nicht als sicherheitsrelevantes Problem ein und verwarf die Meldung leider wieder. Am Ende hat der Softwarekonzern jedoch die Lücke als Remote-Code-Execution Schwachstelle in Windows erkannt und behoben.

Erste Hinweise auf die Schwachstelle fanden sich in einer Bachelorarbeit von Benjamin Altpeter an der TU Braunschweig aus dem August 2020. Auf Seite 29 der Arbeit beschreibt Altpeter den ms-msdt: Angriffsvektor. Direkt darunter folgt ein Hinweis auf eine vergleichbare Schwachstelle im search-ms: Protokollhandler von Windows. Das könnten Cyberkriminelle in Kürze als weiteren Angriffsweg missbrauchen; Berichte dazu gibt es jedoch noch nicht.

Da die Sicherheitslücke in Windows inzwischen von ersten Cybergangs angegriffen wird, sollten Administratoren und Nutzer die von Microsoft empfohlene Gegenmaßnahme umsetzen und den Protokollhandler für ms-msdt: vorerst entfernen. Microsoft hat dazu folgende Anleitung bereitgestellt:

Nutzer müssen zunächst eine administrative Eingabeaufforderung öffnen. Der Befehl reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname> sichert den bisherigen Registry-Schlüssel in die Datei <Dateiname>. Im Anschluss lösche der Aufruf von reg delete HKEY_CLASSES_ROOT\ms-msdt /f den betreffenden Schlüssel. Zur späteren Wiederherstellung genügt dann der Aufruf von reg import <Dateiname> an der administrativen Eingabeaufforderung.

Vereinbare einen Termin mit unserem Büro für einen Techniker. Die Behebung dauert nur 10 – 15 Minuten und kann von uns per Fernwartung durchgeführt werden.