Vor zwei Tagen hatten wir über die Sicherheitslücke im Microsoft Support Diagnostic Tool berichtet. Diese wurde als CVE-2022-30190 von Microsoft schon eingetragen und ein Workaround bereitgestellt, bis Microsoft selber die Lücke schließt.
Jetzt ein weiteres Sicherheitsproblem entdeckt worden, dass zwar nicht ganz so einfach ausgenutzt werden kann. Aber trotzdem dazu führt, dass durch Unachtsamkeit, bspw. einen Link in einer Mail öffnen (eine zusätzliche Benutzerinteraktion und eine ausgehende UNC-Verbindung sind erforderlich) Malware auf dem Rechner platziert werden kann. Möglich macht es der URI-Protokoll-Handler „search-ms“, der so manipuliert werden kann, dass über Word dann ein search-ms-Befehl gestartet und PowerShell-Befehle ausgeführt werden können.
Matthew Hickey betont aber, dass die Lücke nicht so schwerwiegend ist, wie die MSDT-Lücke, trotzdem eine Bedrohung ist. Hickey hat dies auf Twitter in mehreren kleinen Videos gezeigt. Diese Lücke kann ebenso wie die MSDT-Lücke mit der Eingabeaufforderung abgeschwächt werden.
- Eingabeaufforderung als Administrator starten
- Backup vom Registryschlüssel erstellen:
reg export HKEY_CLASSES_ROOT\search-ms search-ms.regsearch-ms.reg ist hier der Name und Pfad für die Speicherung. Ansonsten landet er unter C:\Windows\System32 - Danach den Schlüssel löschen:
reg delete HKEY_CLASSES_ROOT\search-ms /f - Um den Schlüssel wiederherzustellen, gib man:
reg import search-ms.reg
Muss dafür Word installiert sein? Oder MS-Office?
Nein, es reicht einen Text-String an deinen Explorer zu senden. Da gibt es genug Wege das zu machen. Word macht es nur noch leichter, da man den Angriff besser verbergen kann und er automatisch startet.
[https://www.bleepingcomputer.com/news/security/new-windows-search-zero-day-added-to-microsoft-protocol-nightmare/]
Hinter dem Link is eine Text-Box im Artikel mit einem harmloses Beispiel, das SysInternals als Ziel verwendet. Wird sogar von meiner WFP-Firewall geblockt, wenn ich den Aufruf manuell im Explorer durchführe.
Konnte so testen, das meine Systemkonfiguration nicht angreifbar ist.
Was ist eine ausgehende UNC-Verbindung?
https://de.wikipedia.org/wiki/Uniform_Naming_Convention#Netzwerkressourcen
Sollte ich das als Privatperson mit nur einem Rechner machen?
Klar solltest du deinen PC so sicher machen wie möglich.
Angreifer und Datenzerstörer unterscheiden nicht, ob du Privatperson oder Firma bist.
Warum Eingabeaufforderung, kann man das nicht auch mit der regedit.exe machen?
Das kannst Du auch in RegEdit machen. Da geht auch „Exportieren“ und „Löschen“. PowerShell würde auch gehen. Gibt da mehrere Wege, die zum Ziel führen.
Danke, ich frage mich, was es bringt, wenn man ein Backup erstellt (Export), den Schlüssel löscht und dann wieder importiert. Ich habe Angst, was kaputt zu machen.
Der Import ist nur, wenn es von MS repariert wurde und du die Funktion wieder aktivieren möchtest.
Danke, wird die Funktion z.B. auch für die Dateisuche im Explorer verwendet?
Importiert wird ja erst wieder, wenn Microsoft das Fixt. Falls es denn gefixt wird.
Wenn Du den Schlüssel löscht, funktioniert halt das Protokoll „search-ms:“ nicht mehr. Alle Apps und Anwendungen, die das nutzen, können es dann halt nicht mehr und verursachen eventuell Fehler.
Welche Anwendungen könnten das sein? Gib mir bitte mal ein Beispiel.
Da fragst Du mich etwas. Keine Ahnung. Habe da noch nie so wirklich darauf geachtet, welche Anwendungen den Index durchsuchen.
Wenn die Lücke geschlossen wurde und ich den Reg Eintrag wiederherstelle. Vielleicht hab ich die Lücke dann wieder?
Warum fixt Microsoft das nicht so erstmal wenn die Lücke so schwerwiegend ist?
Wenn die Lücke geschlossen ist, kann sie nicht wiederkommen. Eher eine andere.
Von „so schwerwiegend“ ist nirgends die Rede. Microsoft wird sich schon darum kümmern, wenn der Fehler übermittelt wurde.
Ich habe jetzt mal ein Backup gemacht und den Key gelöscht. Harren wir der Dinge, die da hoffentlich kommen.
Bei mir befindet sich im %temp% Ordner ein Ordner Namens „msdt“. Erstellt 08.05.2022 was hat das zu bedeuten?
Ich habe das Tool nie aufgerufen.
Wenn es den Ordner gibt, dann wirst Du wohl die Problembehandlung aufgerufen haben. Eventuell nicht direkt die msdt.exe, aber über die Einstellungen oder anderen Links in Windows.
Ja Danke. Das kann sein.
Hat jemand die beiden Einträge in der Registry gelöscht und negative Auswirkungen bemerkt?
reg delete HKEY_CLASSES_ROOT\ms-msdt /f
und
reg delete HKEY_CLASSES_ROOT\search-ms /f
Was macht der Eintrag:
HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics
DOWRD-Wert 32-Bit mit dem Namen EnableDiagnostics und den Wert auf 0 lassen.
Was für Einschränkungen habe ich dann?
Das deaktiviert die Problembehandlung (msdt.exe). Wenn Du dann z.B. auf des Netzwerksymbol gehst, dort auf Problembehandlung, geht nur noch ein Fester auf, wo drin steht, das diese deaktiviert wurde.
Danke und das ist besser als die beiden Schlüssel zu löschen?
Ich habe bei mir mal geschaut. Den Schlüssel hab ich gar nicht unter Windows 11.
HKLM\SOFTWARE\Policies\Microsoft\Windows\ScriptedDiagnostics
Weiß jemand, ob Microsoft die Sicherheitslücken in den „ms-msdt“- und „search-ms“-Protokoll-Handlern mit dem kumulativen Juni-Update geschlossen hat und man die entsprechenden Schlüssel somit wieder bedenkenlos in die Registry importieren kann?
Ich habe mich etwas gewundert, dass es an dieser Stelle noch kein News-Update dazu gab.
Gruß von Cin-Hoo
Ist dieser Fehler noch aktuell???
Danke für eine Antwort.
Nein. Wurde im Juli 2022 korrigiert.