Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Microsoft warnt vor noch ungepatchter Sicherheitslücke in Windows-Supportfunktion

DrWindows

DrWindows

Redaktion
Microsoft warnt vor noch ungepatchter Sicherheitslücke in Windows-Supportfunktion
von Martin Geuß
Sicherheit Titelbild


Microsoft hat vor einer Sicherheitslücke gewarnt, die mutmaßlich in allen Windows-Versionen steckt und derzeit noch nicht gepatcht ist. Die Lücke betrifft das Microsoft Support Diagnostic Tool (MSDT) bzw. das damit verknüpfte Protokoll. Die Empfehlung lautet, dieses Protokoll zu deaktivieren.

Die Schwachstelle ist als CVE-2022-30190 dokumentiert (via Neowin). In der veröffentlichten Warnung schreibt Microsoft, dass das mit dem MSDT verknüpfte URL-Protokoll anfällig für die Einschleusung und Ausführung von Remote Code ist. Bei einem erfolgreichen Angriff könnten so beispielsweise weitere Programme installiert oder Daten verändert und gelöscht werden. Je mehr Rechte das angemeldete Benutzerkonto bzw. die Anwendung hat, die für den Angriff benutzt wird, desto größer ist das Risiko.

Näher ins Detail geht Microsoft nicht, was daran liegt, dass es noch keinen Fix gibt. Gut möglich, dass hierfür ein außerplanmäßiges Sicherheitsupdate veröffentlicht wird. Da Microsoft die Defender-Definitionen bereits aktualisiert hat, um Angriffe zu erkennen, ist davon auszugehen, dass bereits entsprechende Schadsoftware im Umlauf ist.

Als Workaround bis zur Bereitstellung eines Updates empfiehlt Microsoft die Deaktivierung des entsprechenden Protokolls. Das hat allerdings auch zur Folge, dass verschiedene interne Links, die auf integrierte Troubleshooting-Tools verweisen, nicht mehr funktionieren.

Um das Protokoll zu deaktivieren, muss an einer mit Administratorrechten gestarteten Kommandozeile folgender Befehl abgesetzt werden:

“reg delete HKEY_CLASSES_ROOT\ms-msdt /f”

Mit dem Befehl

“reg export HKEY_CLASSES_ROOT\ms-msdt dateiname“

kann man zuvor ein Backup des gelöschten Registry-Eintrags anlegen, der mit „reg import dateiname“, bei Bedarf wiederhergestellt werden kann.


Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen
 
Anzeige
Kann ich den Schlüssel nicht einfach im Registrierungs-Editor "von Hand" exportieren und dann auch dort löschen?
 
Die Schwachstelle ist als CVE-2022-30190 dokumentiert (via Neowin). In der veröffentlichten Warnung schreibt Microsoft, dass das mit dem MSDT verknüpfte URL-Protokoll anfällig für die Einschleusung und Ausführung von Remote Code ist. Bei einem erfolgreichen Angriff könnten so beispielsweise weitere Programme installiert oder Daten verändert und gelöscht werden. Je mehr Rechte das angemeldete Benutzerkonto bzw. die Anwendung hat, die für den Angriff benutzt wird, desto größer ist das Risiko.
Zum Vergrößern anklicken....
Ich sehe da keinen Grund für mich aktiv zu werden.

Und, so dürfte es wohl auch 99,9% der Windows-Nutzer da draußen gehen, die das hier weder lesen, noch in der Lage sind, in der Registry rumzufrickeln (und weder wissen was ein Administrator ist, noch was eine Kommandozeile ist).

Naja, für die Nerds ist es vielleicht ganz interessant, am Rande. ;)
 
DrWindows schrieb:
Das hat allerdings auch zur Folge, dass verschiedene interne Links, die auf integrierte Troubleshooting-Tools verweisen, nicht mehr funktionieren.
Zum Vergrößern anklicken....
Erinnert mich irgendwie an das Problem mit den Netzwerkdruckern die dann nur noch Manuell bedienbar waren, die Empfehlungen von Microsoft finde ich immer sehr witzig?
 
chakko schrieb:
Ich sehe da keinen Grund für mich aktiv zu werden.

Und, so dürfte es wohl auch 99,9% der Windows-Nutzer da draußen gehen, die das hier weder lesen, noch in der Lage sind, in der Registry rumzufrickeln (und weder wissen was ein Administrator ist, noch was eine Kommandozeile ist).

Naja, für die Nerds ist es vielleicht ganz interessant, am Rande. ;)
Zum Vergrößern anklicken....
..und genau diese Anwendung hat mein KIS vor wenigen Tagen blockiert und bereinigt..
mit der Bez. not a Virus..kann aber von Kriminellen genutz werden um ihren Comtuter zu schaden..
 
Das ist die interne Bezeichnung der Sicherheitslücke. Meine Frage war, was hat dein KIS für eine Anwendung blockiert? Du hast geschrieben, dass es eine Anwendung blockiert und bereinigt hat.
 
..die genaue Antwort hat geheissen..."Kaspersky hat soeben eine unbekannte Anwendung mit der Bez. CVE-2022-30190
blockiert...und bereinigt..
 
Na denn. Vielleicht hat Kaspersky nichts anderes gemacht, als den Registryeintrag wie im Artikel beschrieben zu löschen (fände ich allerdings etwas krass, das ohne die Einwilligung des Nutzers einfach so zu machen, und dann zu melden, dass etwas blockiert und bereinigt wurde).

Ich wüsste allerdings nicht, wie das das, was ich geschrieben habe, falsch macht. Das heißt einfach nur, dass Kaspersky bereits in einem Update für ihre Securitiy-Suite auf diese Sicherheitslücke reagiert hat, nicht, dass diese Sicherheitslücke bei dir ausgenutzt worden wäre, oder du Gefahr gelaufen bist, dass sie ausgenutzt wird.
 
..ich habe dich schon richtig verstanden..und natürlich kam bei mir erst die Warnung vor einem Sicherheitsproblem
..dann wird das Emblem halt gelb..und darauf hin habe ich reagiert und das OK. gegeben um es zu bereinigen..
ham wers?
 
Fragt sich nur was Kaspersky da genau gemacht hat. Würde mich interessieren. Mir wäre unwohl dabei, wenn so ein Programm auf meinem Computer Dinge tut, die von mir möglicherweise so gar nicht gewollt sind.
 
DrWindows schrieb:
Die Schwachstelle ist als CVE-2022-30190 dokumentiert (via Neowin). In der veröffentlichten Warnung schreibt Microsoft, dass das mit dem MSDT verknüpfte URL-Protokoll anfällig für die Einschleusung und Ausführung von Remote Code ist. Bei einem erfolgreichen Angriff könnten so beispielsweise weitere Programme installiert oder Daten verändert und gelöscht werden. Je mehr Rechte das angemeldete Benutzerkonto bzw. die Anwendung hat, die für den Angriff benutzt wird, desto größer ist das Risiko.
Zum Vergrößern anklicken....
also wie Martin schon oben ausgeführt hat,gehe ich davon aus das es sich hierbei um eine Schadsoftware handelt..
die jetzt auch der Win Defender auf dem berühmten Zettel hat..nur der KIS hat davon schon eher Wind bekommen
und sie erst mal als ("not a Virus")..deklariert..aber eine Warnung rausgegeben..ich hätte sie ja auch ignorieren
können..hab ich aber nicht..übrigen der Kis fragt immer nach ob er..oder ob er nicht...
es sei denn es handelt sich wirklich um einen "dicken Hund"..dann wird der Download gleich blockiert..
 
jerry911 schrieb:
also wie Martin schon oben ausgeführt hat,gehe ich davon aus das es sich hierbei um eine Schadsoftware handelt..
Zum Vergrößern anklicken....
Nein...

Lies bitte mal die Meldung genauer.
Die Schwachstelle ist als CVE-2022-30190 dokumentiert (via Neowin).
Zum Vergrößern anklicken....
Ich habe dir die relevante Stelle mal in Fettschrift markiert.

Das was Kaspersky da offensichtlich bei dir macht ist die Lücke zu schließen. Wie auch immer Kaspersky das macht steht in den Sternen.

Und, in dem Artikel steht, dass die Virendefinitionen des Defenders aktualisiert wurden, um Schadsoftware zu erkennen, die diese Sicherheitslücke ausnutzt.
 
Und, in dem Artikel steht, dass die Virendefinitionen des Defenders aktualisiert wurden, um Schadsoftware zu erkennen, die diese Sicherheitslücke ausnutzt.


die genaue Antwort hat geheissen..."Kaspersky hat soeben eine unbekannte Anwendung mit der Bez. CVE-2022-30190
blockiert...und bereinigt..
..und was habe ich in dem Post 10. geschrieben???

chakko schrieb:
..nachdem sie es bemerkt haben?

Und, in dem Artikel steht, dass die Virendefinitionen des Defenders aktualisiert wurden, um Schadsoftware zu erkennen, die diese Sicherheitslücke ausnutzt.
Zum Vergrößern anklicken....


 
Die Meldung von Kaspersky ergibt keinen Sinn. Eine Sicherheitslücke ist keine "Anwendung" und kann nicht blockiert und bereinigt werden.

Aber, egal. Irgendwas hat Kaspersky da gemacht. Was das ist, weiß man nicht. Ist mir auch egal. Hauptsache du fühlst dich sicherer.

Ich fühle mich (ein bisschen) sicherer, wenn Microsoft die Sicherheitslücke beim nächsten Update schließt. Kein Grund zur Panik.
 
Dazu muss man auch erst mal eines dieser ominösen bösartige manipulierten Word-Dokumente Erhalten, da ich grundsätzlich keine fremden Word-Dokumente öffne mache ich mir deswegen auch keine Sorgen, das mich da betreffen könnte.
 
PeterK schrieb:
Dazu muss man auch erst mal eines dieser ominösen bösartige manipulierten Word-Dokumente Erhalten, da ich grundsätzlich keine fremden Word-Dokumente öffne mache ich mir deswegen auch keine Sorgen, das mich da betreffen könnte.
Zum Vergrößern anklicken....
Schadprogramme können nicht nur durch versteckte Scripte in Word-Dokumenten auf dein OS gelangen.
In anbetracht dessen dass ein Großteil der Leute ihren Rechner mittlerweile standardgemäß mit Administrator-Account nutzt (allein weil der Einrichtungsassistent von Windows das ja per Default so einrichtet) würde ich eine solche Sicherheitslücke nicht einfach mit solch einer laschen Entkräftigung abtun...
 
Zuletzt bearbeitet:
@DZ9491 hallo und willkommen bei uns :)
Die Sache mit den Adminrechten ist allerdings eher ein Ding aus der Vergangenheit. Unter XP waren solche Lücken und damit verbundene Angriffe wirklich gefährlich, weil jeder Nutzer standardmäßig Administrator war - ohne jede zusätzliche Absicherung.
Seit Vista gibt es die Benutzerkontensteuerung, damit ist man zwar immer noch standardmäßig Admin, aber alle Aktionen werden mit normalen Benutzerrechten durchgeführt, wenn ein Prozess Adminrechte erfordert, muss man das erst explizit bestätigen. Da bleibt natürlich immer noch genug Unheil übrig, was man damit anrichten kann.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben