lochkartenstanzer
01.06.2022, aktualisiert am 03.06.2022
view4555
view9
2
Goto Top

Zero-Day-Lücke: Erste Cybergangs greifen MSDT-Sicherheitslücke an

InformationSicherheitErkennung, Abwehr
Moin,

Momentan scheint es aktive Angriffe zu geben. Näheres dazu z.B. bei Heise oder Deskmodder:

Zero-Day-Lücke: Erste Cybergangs greifen MSDT-Sicherheitslücke an

Zero-Day-Lücke in MS Office: Microsoft gibt Empfehlungen

Zero-Day-Lücke in Microsoft Office ermöglicht Codeschmuggel

Microsoft Support Diagnostic Tool mit einer Sicherheitslücke (Workaround)

Google spuckt noch haufenweise andere Links aus.

Haltet eure Kisten sauber!

lks
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 2958871561

Url: https://administrator.de/contentid/2958871561

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

9 Kommentare
Neuester Kommentar
Goto Top
dertowa
dertowa 01.06.2022 um 20:17:40 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Haltet eure Kisten sauber!

lks

Salut,

ich hatte gestern schon mal überlegt einen Beitrag dazu einzustellen, habe dann gesehen, dass Microsoft hinsichtlich Defender bereits reagiert hatte.
Der fängt Aufrufe über das Remotehilfe-Programm ab, nach dem Beitrag von heise.de heute:
https://www.heise.de/news/Zero-Day-Luecke-Erste-Cybergangs-greifen-MSDT- ...
habe ich bei uns aber die Reißleine gezogen.

Bei allen Clients wird morgen der Registryschlüssel gelöscht.
Ich gehe davon aus, dass Microsoft mit den kommenden Updates einen Fix bringt, dann lässt sich der Schlüssel einfach wieder importieren.

Also Vertrauen ist gut, Kontrolle ist besser.

Grüße
ToWa
141986
141986 02.06.2022 um 07:24:28 Uhr
Goto Top
02.06.2022 um 03:35:26 Uhr
ein LKS schläft nie, Er root!

#ontopic: danke :D

VG
ukulele-7
ukulele-7 02.06.2022 um 09:17:05 Uhr
Goto Top
Eine Idee vom Heise-Forum fand ich gut, einfach die calc.exe per Defender blockieren - problem solved.

Nein im Ernst, warum ist das so schwer für Microsoft zu fixen, was dauert da so lange?
Lochkartenstanzer
Lochkartenstanzer 02.06.2022 um 09:29:51 Uhr
Goto Top
Moin,


Zitat von @141986:

02.06.2022 um 03:35:26 Uhr

Um die Uhrzeit bin ich zwar auch öfter Mal wach, aber heute habe ich da definitiv geschlafen. Vielleicht hat ja ein Moderator den Beitrag bearbeitet.

ein LKS schläft nie, Er root!

Und hat Wartungsintervalle. face-smile


#ontopic: danke :D


Gern geschehen.

lks
dertowa
dertowa 02.06.2022 um 10:03:53 Uhr
Goto Top
Zitat von @ukulele-7:

Eine Idee vom Heise-Forum fand ich gut, einfach die calc.exe per Defender blockieren - problem solved.

Wozu?
Es hat doch nichts mit dem Calculator zu tun?
Die msdt.exe ist das Problem, damit lässt sich wohl alles so ziemlich frei ausführen, ob Calc oder Editor egal.
141986
141986 02.06.2022 um 10:10:49 Uhr
Goto Top
Wozu?
Es hat doch nichts mit dem Calculator zu tun?

Ich glaube, da hat wer den Sarkasmus nicht ganz verstanden. :D

VG
ukulele-7
ukulele-7 02.06.2022 um 10:56:35 Uhr
Goto Top
Zitat von @dertowa:
Wozu?
Es hat doch nichts mit dem Calculator zu tun?
Die msdt.exe ist das Problem, damit lässt sich wohl alles so ziemlich frei ausführen, ob Calc oder Editor egal.
Ja natürlich sarkastisch gemeint. Der erste (zumindest öffentliche) Proof of Concept ist wohl ein Script das die Lücke ausnutzt und die calc.exe startet - übrigens auch auf diversen Screenshots in Artikeln mit drauf. Und MS (aber sicher auch andere Hersteller) neigen ja dazu, nicht das Problem direkt zu fixen sondern Workarounds zu präsentieren.
dertowa
dertowa 02.06.2022 aktualisiert um 15:39:15 Uhr
Goto Top
Zitat von @ukulele-7:
Ja natürlich sarkastisch gemeint. Der erste (zumindest öffentliche) Proof of Concept ist wohl ein Script das die Lücke ausnutzt und die calc.exe startet - übrigens auch auf diversen Screenshots in Artikeln mit drauf. Und MS (aber sicher auch andere Hersteller) neigen ja dazu, nicht das Problem direkt zu fixen sondern Workarounds zu präsentieren.

Vielleicht missverstehe ich das Problem "Zero-Day-Sicherheitslücke", aber wenn man sich mal die Entwicklung anschaut, dann war es erst eine Lücke in Microsoft Word, dann offenbar doch nicht, sondern es wird etwas über einen Link aus dem Internet geladen, was eine Lücke des msdt ausnutzt.

Faktisch ist es in meinen Augen vollkommen legitim nicht hektisch zu reagieren, sondern erstmal genau zu analysieren was da passiert und das grundlegende Problem anzugehen.

Der Workaround ist einfach und funktioniert, einfach umsetzen und abwarten.
Zudem tut uns allen ein wenig mehr Gelassenheit sicherlich ganz gut. face-smile

Edit: Es geht übrigens direkt weiter mit der search-ms:
https://www.deskmodder.de/blog/2022/06/02/weitere-windows-sicherheitslue ...
Nicht ganz so leicht zu nutzen, aber möglich. :-P
dertowa
dertowa 21.06.2022 um 15:40:36 Uhr
Goto Top
Hallo zusammen,
können wir die Registry eigentlich wieder zusammenführen?
Hat jemand Infos, ob die Sicherheitslücke in den Juni-Patches geschlossen wurde?
Ich kann das hier nicht wirklich zuordnen: https://msrc.microsoft.com/update-guide/releaseNote/2022-Jun

P.S.: Seitens Microsoft hat man wohl den deutschen Updateverlauf von Windows 10 zum April eingestellt:
https://support.microsoft.com/de-de/topic/windows-10-updateverlauf-857b8 ...
:D
InformationSicherheitErkennung, Abwehr
Mehr von LochkartenstanzerLochkartenstanzerRemote Desktop geht wegen angeblicher Zeitdifferenz nicht mehrLochkartenstanzer - 7 KommentareLochkartenstanzerWindows Server 2019 oder 2022 Upgrade auf Windows Server 2025 angebotenLochkartenstanzer - 4 KommentareLochkartenstanzerFreitagsfrage? Word druckt nicht, Excel schon. :-(Lochkartenstanzer - 14 KommentareLochkartenstanzerBei Korrektur von Beiträgen oder Kommentaren ein Override der maximalen ÄnderungLochkartenstanzer - 8 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 Kommentare