In diesem CVE wird eine Sicherheitsanfälligkeit des Microsoft Support Diagnostic Tool (MSDT) beschrieben und mit dem Schweregrad 7,8 von 10 eingestuft. Über das URL-Protokoll ms-msdt kann beliebiger Schadcode ausgeführt werden. Der Angreifer erhält die Rechte des aufrufenden Benutzers/Programms und kann je nach Berechtigung Programme installieren, Daten anzeigen, ändern oder löschen sowie neue Konten erstellen.
Wir empfehlen Ihnen dringend die Deaktivierung des msdt-url-Protokolls. Da es aktuell noch kein entsprechendes Sicherheitsupdate gibt, kann das Risiko durch deaktivieren des msdt-url-Protokolls minimiert werden. Die Deaktivierung des msdt-url-Protokolls verhindert, dass der Troubleshooter über Links gestartet werden kann. Über die Systemsteuerung können die Troubleshooter weiterhin gestartet werden.
Die bluvo hat ein Skript entwickelt und verteilt dieses seit Dienstag, den 01.06.2022, auf Client- und Serversystemen bei all ihren Vertragskunden, deren Systeme in unserem Monitoring erfasst sind. Das Skript sichert den entsprechenden Pfad in der Systemregistrierung und löscht diesen anschließend. Dadurch funktionieren Links mit ms-msdt:// nicht mehr.
Von Sophos (SMTP Gateway), Defender for Endpoint und Defernder for Office365 werden präparierte Dokumente inzwischen erkannt und blockiert. Die Deaktivierung des ms-msdt Protokolls stellt jedoch aktuell den höchsten Schutzgrad dar.
Sobald die Sicherheitslücke geschlossen wurde, werden wir bei unseren Vertragskunden die Backups wieder in die Registry importieren und den ursprünglichen Zustand wiederherstellen.
Nehmen Sie hier direkt Kontakt auf, wenn Sie Unterstützung benötigen!
Weitere Details zum Thema finden Sie in englischer Sprache hier: https://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
