Sicherheitslücken und Workarounds

Update: Mit dem Patchday Juni 2022 (14.06.2022) wurde zumindest die MSDT (auch als Follina bekannte Sicherheitslücke) geschlossen. Ob die Searchdienst Lücke noch weiter besteht, ist weiter offen. Dennoch kann es nicht schaden, die beiden Dateiklassen-Zuordnungen – wie unten beschreiben – abgeschaltet zu lassen. Die Search Lücke ließe sich mit einigem Aufwand immer noch nutzen, ist aber von der Risiko-Klassifizierung geringer.

In (prinzipiell sind auch Terminalserver und die anderen Serverkonsolen betroffen, nicht nur Clients) gab es bereits letzte Woche eine kritische im „MSDTC Handler“ – das ist die Funktion, die Hilfe und Problembehandlung ausführt. Durch geschicktes Manipulieren kann ein Angreifer Code ausführen und somit Malware aus dem Internet ausführen. Wir hatten darüber berichtet. Ist Microsoft Office in einer Kaufversion (2013-2021) installiert, gibt es kein administratives Mittel, die Lücke effektiv zu stopfen.

Allerdings kann man (auch über eine Gruppenrichtlinie) Registrierungsschlüssel setzen (bzw. hier entfernen). Gestern kam eine weiter Lücke dazu, die sich auf den URL-Handler: „ms-search“ bezieht.

Ich selbst kenne keinen, der diese beiden Funktionen in Windows aktiv nutzt, daher habe ich die Schlüssel vorher nicht gesichert, sondern sie einfach entfernt. Das funktioniert wie folgt (bei Risiken und Nebenwirkungen sind Sie natürlich selbst verantwortlich):

reg delete HKEY_CLASSES_ROOT\search-ms /f
reg delete HKEY_CLASSES_ROOT\ms-msdt /f

Die Gruppenrichtlinie zum Abschalten des Problembehandlungsassistenten ist:
Computerkonfiguration/Richtlinien/Administrative Vorlagen/System/Problembehandlung und Diagnose/Skriptdiagnose/Problembehandlung: Zugriff und Ausführung von Problembehandlungs-Assistenten durch Benutzer zulassen -> Deaktivieren

Zusammenfassung
  1. In #Windows (prinzipiell sind auch Terminalserver und die anderen Serverkonsolen betroffen, nicht nur Clients) gab es bereits letzte Woche eine kritische #Sicherheitslücke im „MSDTC Handler“ – das ist die Funktion, die Hilfe und Problembehandlung ausführt.
  2. Dennoch kann es nicht schaden, die beiden Dateiklassen-Zuordnungen - wie unten beschreiben - abgeschaltet zu lassen.
  3. Ob die Searchdienst Lücke noch weiter besteht, ist weiter offen.
Verwandte Beiträge
Über den Autor:
Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert