Follina: Inoffizieller Patch für Zero-Day-Lücke in Windows verfügbar

Für die seit Ende der Woche bekannte Zero-Day-Lücke in Windows, die inzwischen auch aktiv von Hackern ausgenutzt wird, liegt nun ein inoffizieller Patch vor. Er soll verhindern, dass Angreifer mit nur wenig Interaktion durch den Nutzer in der Lage sind, PowerShell-Befehle auf einem vollständig gepatchten Windows-System auszuführen. Microsoft bietet zudem eine Behelfslösung an, die jedoch zu Funktionseinschränkungen führt.

Die Follina genannte Schwachstelle steckt laut Microsoft im Microsoft Support Diagnostic Tool (MSDT). Ruft eine Anwendung wie beispielsweise Word das URL-Protokoll auf, kann ein Angreifer beliebigen Code mit den Rechten der aufrufenden Anwendungen ausführen. Laut Microsoft ist es möglich, Programme zu installieren, Daten einzusehen oder gar zu löschen und sogar neue Nutzerkonten anzulegen.

Der inoffizielle Patch wurde vom Sicherheitsanbieter 0Patch entwickelt. „Es wäre bei weitem am einfachsten, msdt.exe durch einen TerminateProcess()-Aufruf zu deaktivieren. Dies würde jedoch den Windows-Diagnoseassistenten unbrauchbar machen, auch für Nicht-Office-Anwendungen. Eine andere Möglichkeit wäre, die Empfehlung von Microsoft in einem Patch zu verarbeiten und damit den ms-msdt: URL-Protokoll-Handler effektiv zu deaktivieren. Aber wenn möglich, wollen wir die Nebenwirkungen minimieren“, schreibt dessen CEO Mitja Kolsek in einem Blogeintrag.

Microsoft rät zur Abschaltung des URL-Protokolls

Deshalb habe man nicht die ausführbare Datei des Diaganosediensts msdt.exe gepatcht, sondern die Datei sdiagnhost.exe. Der Patch von 0Patch prüft, vor dem Aufruf „RunScript“, ob der vom Nutzer gelieferte Pfad eine Zeichenfolge enthält, die wiederum zum Ausführen von Power-Shell-Code benötigt wird. Werde diese entdeckt, stelle der Patch sicher, dass der Aufruf „RunScript“ ignoriert werde – ohne Auswirkungen auf das eigentliche Diagnose-Tool.

Microsoft schlägt indes vor, bis zur Verfügbarkeit eines offiziellen Updates das MSDT-URL-Protokoll abzuschalten. In einem Blogeintrag beschreibt das Unternehmen, wie dies über eine Änderung in der Registrierungsdatenbank umgesetzt – und wieder rückgängig gemacht werden kann.

Unklar ist indes, wann Microsoft die Sicherheitslücke schließen wird. Der nächste Patchday findet am 14. Juni statt. Microsoft könnte jedoch auch vorab einen außerplanmäßigen Patch bereitstellen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Kleinere Budgets und Fachkräftemangel fordern CISOs

Komplexität, KI, kleinere Budgets: CISOs müssen sich mehr auf die technologischen als auf die organisatorischen…

2 Tagen ago

SAP: Cloud First oder Cloud Only?

SAP will innovative Funktionen künftig hauptsächlich für Cloud-Versionen von S/4HANA bereitstellen, was sich auf die…

4 Tagen ago

KI-Boom pusht Amazons Partnergeschäft

Die Marktforscher von ISG haben 47 IT-Dienstleister untersucht, die im deutschen Ökosystem von AWS tonangebend…

4 Tagen ago

Lünendonk untersucht Robotereinsatz in Kliniken

Serviceroboter entwickelt sich zum zentralen Bestandteil moderner Gebäudedienste. Reinigungsaufgaben stehen derzeit im Vordergrund.

5 Tagen ago

SAP S/4 HANA wird digitaler Kern des Maschinenbauers Harro Höfliger

Spezialist für Produktions- und Verpackungsmaschinen setzt auf All for One

5 Tagen ago

Grenzüberschreitender Einsatz generativer KI verursacht Datenschutzverletzungen

Das Fehlen einheitlicher globaler KI-Standards zwingt Organisationen dazu, regionsspezifische Strategien zu entwickeln, was die Skalierbarkeit…

6 Tagen ago