Für die seit Ende der Woche bekannte Zero-Day-Lücke in Windows, die inzwischen auch aktiv von Hackern ausgenutzt wird, liegt nun ein inoffizieller Patch vor. Er soll verhindern, dass Angreifer mit nur wenig Interaktion durch den Nutzer in der Lage sind, PowerShell-Befehle auf einem vollständig gepatchten Windows-System auszuführen. Microsoft bietet zudem eine Behelfslösung an, die jedoch zu Funktionseinschränkungen führt.
Die Follina genannte Schwachstelle steckt laut Microsoft im Microsoft Support Diagnostic Tool (MSDT). Ruft eine Anwendung wie beispielsweise Word das URL-Protokoll auf, kann ein Angreifer beliebigen Code mit den Rechten der aufrufenden Anwendungen ausführen. Laut Microsoft ist es möglich, Programme zu installieren, Daten einzusehen oder gar zu löschen und sogar neue Nutzerkonten anzulegen.
Der inoffizielle Patch wurde vom Sicherheitsanbieter 0Patch entwickelt. „Es wäre bei weitem am einfachsten, msdt.exe durch einen TerminateProcess()-Aufruf zu deaktivieren. Dies würde jedoch den Windows-Diagnoseassistenten unbrauchbar machen, auch für Nicht-Office-Anwendungen. Eine andere Möglichkeit wäre, die Empfehlung von Microsoft in einem Patch zu verarbeiten und damit den ms-msdt: URL-Protokoll-Handler effektiv zu deaktivieren. Aber wenn möglich, wollen wir die Nebenwirkungen minimieren“, schreibt dessen CEO Mitja Kolsek in einem Blogeintrag.
Microsoft rät zur Abschaltung des URL-Protokolls
Deshalb habe man nicht die ausführbare Datei des Diaganosediensts msdt.exe gepatcht, sondern die Datei sdiagnhost.exe. Der Patch von 0Patch prüft, vor dem Aufruf „RunScript“, ob der vom Nutzer gelieferte Pfad eine Zeichenfolge enthält, die wiederum zum Ausführen von Power-Shell-Code benötigt wird. Werde diese entdeckt, stelle der Patch sicher, dass der Aufruf „RunScript“ ignoriert werde – ohne Auswirkungen auf das eigentliche Diagnose-Tool.
Microsoft schlägt indes vor, bis zur Verfügbarkeit eines offiziellen Updates das MSDT-URL-Protokoll abzuschalten. In einem Blogeintrag beschreibt das Unternehmen, wie dies über eine Änderung in der Registrierungsdatenbank umgesetzt – und wieder rückgängig gemacht werden kann.
Unklar ist indes, wann Microsoft die Sicherheitslücke schließen wird. Der nächste Patchday findet am 14. Juni statt. Microsoft könnte jedoch auch vorab einen außerplanmäßigen Patch bereitstellen.
Der tatsächliche Mehrwert von KI-Agenten zeigt sich erst dann, wenn sie über System- und Herstellergrenzen…
Ferroelektrisches Oxid verringert den Energieverbrauch erheblich und verkürzt Latenzzeiten von Computerarchitekturen.
Hyperscaler ermöglichen ISVs eine schnellere Markteinführung ihrer Produkte, wobei damit die verbundenen Herausforderungen steigen, sagt…
Warenhauskette setzt auf die KI-gesteuerten Fähigkeiten zur Bedarfsplanung und Nachversorgung von Blue Yonder.
Technische Hochschule Augsburg (THA) will Hersteller auf die neue EU-Verordnung hinweisen, die Cybersicherheit für vernetzte…
Mit der steigenden Anzahl von Endpunkten, wächst die Komplexität, die mit dem Unternehmensnetzwerken verbundenen Geräte…
