CVE 2022 30190 MS MSDT GPO

CVE-2022-30190 MS-MSDT GPO

Angriff über Word-Dokumente und ms-msdt-Protokoll

Das Microsoft Security Response Center schreibt dazu: Es besteht eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, wenn MSDT (Microsoft Support Diagnostics Utility) unter Verwendung des URL-Protokolls von einer aufrufenden Anwendung wie Word aufgerufen wird. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen. Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem von den Rechten des Benutzers zugelassenen Kontext erstellen.

Microsoft Support Diagnostics Utility

Microsoft Support Diagnostics Utility

Follina-Schwachstelle: Schadcode wird per Microsoft Office eingeschleust – BSI

CVE-2022-30190 MS-MSDT GPO

Für diese Sicherheitsanfälligkeit ist derzeit kein Patch verfügbar. Alle Administratoren sollten die von Microsoft veröffentlichte Problemumgehung anwenden, die das MSDT-URL-Protokoll deaktiviert und so die Ausnutzung verhindert.

Workaround: Das Deaktivieren des MSDT-URL-Protokolls verhindert, dass Fehlerbehebungen als Links gestartet werden, einschließlich Links im gesamten Betriebssystem.

Auf einem Einzelcomputer kann der Registryschlüssel wie folgt gesichert und anschließend gelöscht werden.

reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg
reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg

ms-msdt Reg export
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
reg delete HKEY_CLASSES_ROOT\search-ms /f

reg delete ms-msdt

Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\ms-msdt]

-HKEY_CLASSES_ROOT

Eine Alternative wäre auch die direkte Deaktivierung der Diagnostic.

reg add “HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics” /t REG_DWORD /v EnableDiagnostics /d 0

In einem Unternehmen kann die Löschung des Registryschlüssels mittels einer Gruppenrichtlinie erfolgen.

CVE-2022-30190 MS-MSDT GPO

Angriff über Word-Dokumente und ms-msdt-Protokoll

In dieser Zip-Datei findet ihr die benötigte Gruppenrichtlinie zur Entfernung des Registryschlüssels sowie zum Hinzufügen des Registryschlüssels.

MSDT CVE-2022-30190.zip

Win10PrivacyFix

Abelsoft bietet den Microsoft-Workaround nun auch über das Tool Win10PrivacyFix und Win11PrivacyFix an.

Die Aktivierung des Schalters (Fix) entfernt den Registryschlüssel ms-msdt.

Win10PrivacyFix

Die Deaktivierung des Schalters fügt den Registryschlüssel ms-msdt wieder hinzu.

Win11PrivacyFix CVE-2022-30190