Technologische Neuigkeiten, Bewertungen und Tipps!
Blogs2

Microsoft hat einen Minderungsplan zum Blockieren der Ausnutzung von Office-0-Day-Bugs veröffentlicht

August 8, 2024

Um die anhaltende Ausnutzung seiner Zero-Day-Bugs in Office einzudämmen, hat Microsoft einen Schadensbegrenzungsplan für anfällige Benutzer angekündigt.

Dies geschieht durch die Deaktivierung des URL-Protokolls des Microsoft Windows Support Diagnostic Tool (MSDT), das von Angreifern verwendet wird, um beliebigen Code remote auf den Systemen der Opfer auszuführen. Microsoft sagte auch, dass bestimmte neue Versionen von Microsoft Defender die Exploits ebenfalls erkennen können.

Stoppen von Exploits gegen Zero-Day-Bugs im Büro

Wir sehen immer wieder Zero-Day-Bugs in Softwareprodukten. Microsoft ist da keine Ausnahme, denn auch die Produkte des Unternehmens sind regelmäßig mit Bugs befallen. Das Neueste, was wir hören, ist, dass die Office-Suite einen Zero-Day-Bug hat, der von einem Sicherheitsforscher entdeckt wurde. nao_sec.

Dieser Zero-Day-Bug mit der Bezeichnung CVE-2022-30190 betrifft das Windows Support Diagnostic Tool (MSDT) von Microsoft und ermöglicht erfolgreichen Angreifern die Ausführung bösartiger PowerShell-Befehle beim Öffnen oder Vorschau Word-Dokumente!

Microsoft hat dies zu diesem RCE-Fehler bemerkt.

Und da die Ausnutzung dieses Fehlers vor einem Monat begann, hat Microsoft nun einen Plan zur Eindämmung veröffentlicht, um ihn zu stoppen und gefährdete Benutzer zu schützen.. Dies geschieht durch die Deaktivierung des MSDT-URL-Protokolls, das Angreifern die Remote-Ausführung bösartigen Codes ermöglicht. So gehts:

  1. Führen Sie die Eingabeaufforderung als Administrator aus.
  2. Um den Registrierungsschlüssel zu sichern, führen Sie den Befehl „reg export HKEY_CLASSES_ROOT\ms-msdt filename“ aus.
  3. Führen Sie den Befehl „reg delete HKEY_CLASSES_ROOT\ms-msdt /f“ aus.

Und wenn Microsoft einen funktionierenden Patch bereitstellt, können Benutzer diese Maßnahme rückgängig machen, indem sie eine Eingabeaufforderung mit erhöhten Rechten ausführen und den Befehl „reg import filename“ ausführen (Dateiname ist der Name der Registrierungssicherung, die beim Deaktivieren des Protokolls erstellt wurde).

Das Unternehmen stellte außerdem fest, dass seine Defender Antivirus v1.367.719.0 oder neuer kann sogar die mögliche Ausnutzung dieses Zero-Day-Bugs erkennen unter den folgenden Unterschriften:

Trojaner:Win32/Mesdetty.A
Trojaner:Win32/Mesdetty.B
Verhalten:Win32/MesdettyLaunch.A
Verhalten:Win32/MesdettyLaunch.B
Verhalten:Win32/MesdettyLaunch.C

Es wird daher empfohlen, Ihre Microsoft Defender-Suite zu aktualisieren und die vom Unternehmen vorgeschlagenen Minderungsmaßnahmen anzuwenden.

Your Header Sidebar area is currently empty. Hurry up and add some widgets.