MICROSOFT Office – Sicherheitswarnung

Zero-Day Lücke entdeckt - Handlungsempfehlung

In dieser Woche hat MICROSOFT über eine entdeckte Zero-Day-Lücke in Office informiert. Diese Lücke kann für das Einschleusen von Schadsoftware missbraucht werden. Leider sind die möglichen Auswirkungen noch nicht genauer analysiert.  


Bisher ist bekannt, dass Kriminelle mit manipulierten Word-Dokumenten diese Lücke nutzen können.

MICROSOFT hat folgende Informationen bereitgestellt:

Eine Schwachstelle, die das Ausführen beliebiger Codes aus dem Netz ermöglicht tritt auf, wenn MSDT mit dem URL-Protokoll von einer Anwendung wie z.B. Word aufgerufen wird. Ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, kann beliebige Codes mit denselben Rechten der aufrufenden Anwendung ausführen. Dies ermöglicht etwa das Installieren von Programmen, das Einsehen, Verändern und Löschen von Daten und das Anlegen neuer Konten im Kontext der Nutzerrechte. 

Eine Beschreibung des Problems hat MICROSOFT auf Ihrem Blog „Microsoft Security Response Center“ veröffentlicht:

klicken um den Blog Artikel von Microsoft zu lesen 

Die Lücke betrifft das MICROSOFT Windows Support Diagnostic Tool (MSDT), das auf jedem Rechner mit einem Windows Betriebssystem installiert ist. Wird dieses Tool – MSDT mit dem URL-Protokoll aus einer installierten Anwendung wie z.B. Word aufgerufen, kann ein beliebiger Code aus dem Internet aufgerufen werden. Wird diese Lücke auf die beschriebene Weise erfolgreich genutzt, kann der Angreifer die Daten einsehen, verändern oder löschen. Neue Benutzerkonten könnten ebenfalls angelegt werden. Diese erhalten die Berechtigung des Anwenders, über den der Angriff erfolgreich durchgeführt wurde. 

Bösartige Dateien, von denen die Gefahren ausgehen: 

Trojan:Win32/Mesdetty.A 
Trojan:Win32/Mesdetty.B 
Behavior:Win32/MesdettyLaunch.A 
Behavior:Win32/MesdettyLaunch.B 
Behavior:Win32/MesdettyLaunch.C

Die erste Handlungsempfehlung 

Durch die Deaktivierung des URL-Handlers für MSDT, lässt sich das Problem kurzfristig beheben. Allerdings führt die Anpassung der Registry meist zu Nebeneffekten, die sich so nicht abschätzen lassen. Daher empfehlen wir alternativ einen anderen Weg.  

Wer trotzdem diesen Weg wählt, weil Alternativen nicht zur Verfügung stehen, findet zeitnah eine Anleitung auf unserem IT-Blog.  

Besser als die Regestry der Windows Betriebssysteme zu verändern, ist eine moderne Sicherheitsstrategie. Wir gehen kurz auf eine Lösung ein, die wir bei vielen unseren Kunden erfolgreich umsetzen.  

Hornet Security für E-Mail ist ein Cloud Dienst, der E.Mails bevor Sie ins Postfach gelangen überprüft und bösartigen Code herausfiltert. Hornet hat sehr schnell reagiert und die ersten Maßnahmen zum Schutz bereits umgesetzt und blockiert manipulierte Dokumente.  

Watchguard hat für die EndPoint Lösung AD360 ebenfalls umfassende Maßnahmen ausgerollt, um die beschriebene Lücke explizit zu erkennen und manipulierte Dateien präfentiv in Ihren Systemen ausfindig und unschädlich zu machen.  

Trendmicro ist ebenfalls an einer Umsetzung von Maßnahmen zum Schutz vor diesem Angriff.  

Bitte prüfen Sie zur Sicherheit, ob die Programmversionen der aktuell sind. Nur so lassen sich die neusten Bedrohungen wirkungsvoll abwehren.  

Noch eine Information für unsere Managed Service Kunden.

 Wir halten Ihre Systeme aktuell und steuern gezielte Maßnahmen, gegen diesen Angriff.  

Wir halten Sie auf dem Laufenden. 

Persönliche Beratung gewünscht?

Telefon: 07171-7987-11 oder nutzen Sie unser Kontaktformular

Managed Cloud Workspace

für Rechtsanwälte RAmicro in der Cloud

MICROSOFT 365

Was gibt es Neues im Microsoft Universum 2022/Q1!

Home-Office

Was steht dem flexiblen Arbeitsplatz noch im Weg?

Aktuellste Beiträge

Verpassen Sie keine wichtigen Neuigkeiten! Jetzt zum Newsletter anmelden

Kontaktformular