Die am Montag dieser Woche entdeckte Zero-Day-Sicherheitslücke in Microsofts Support-Tool MSDT hat es offenbar in die Werkzeugkisten von Cybergangs geschafft. Das IT-Sicherheitsunternehmen Proofpoint berichtet von einer chinesischen Cybergang, die mit bösartig manipulierten Dokumenten insbesondere die Mitglieder der internationalen tibetanischen Gemeinschaft angreifen – und dazu die Zero-Day-Lücke missbrauchen. Die chinesische Cybergang mit der Bezeichnung TA413 hat sich in der Vergangenheit bisherigen Erkenntnissen zufolge darauf konzentriert, Mitglieder der tibetanischen Community anzugreifen. Aber auch europäische Diplomaten, legislative Organe, Non-Profit-Organisationen und globale Organisationen aus dem ökonomischen Bereich waren Berichten zufolge bereits im Visier von TA413. In den jetzt beobachteten Attacken verschickten die Kriminellen Links auf ZIP-Archive, die ihrerseits Word-Dokumente mit dem Exploit der Schwachstelle enthielten. Die Kampagne imitiere den „Women Empowerments Desk“ (Referat zur Frauenförderung) der zentral-tibetanischen Verwaltung. Auch die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt vor der Zero-Day-Schwachstelle und rät IT-Verantwortlichen, den bekannten Workaround anzuwenden. Die Warnung erfolgt mit dem Hinweis, dass Microsoft inzwischen aktiven Missbrauch der Lücke in freier Wildbahn vermeldet. Es häufen sich zudem Hinweise, dass die Sicherheitslücke bereits vor längerer Zeit aufgefallen ist. So hat der IT-Sicherheitsforscher CrazymanArmy auf Twitter Screenshots vom Verlauf einer Fehlermeldung an Microsoft gepostet, die zeigen, dass er die Schwachstelle initial bereits am 12. April dieses Jahres gemeldet hatte. Microsoft stufte das zunächst jedoch nicht als sicherheitsrelevantes Problem ein und verwarf die Meldung. Am Ende hat der Softwarekonzern jedoch die Lücke als Remote-Code-Execution-Schwachstelle in Windows erkannt und abgedichtet. Erste Hinweise auf die Schwachstelle fanden sich in einer Bachelorarbeit von Benjamin Altpeter an der TU Braunschweig aus dem August 2020. Auf Seite 29 der Arbeit beschreibt Altpeter den ms-msdt:
-Angriffsvektor. Direkt darunter folgt ein Hinweis auf eine vergleichbare Schwachstelle im search-ms:
-Protokollhandler von Windows. Das könnten Cyberkriminelle in Kürze als weiteren Angriffsweg missbrauchen; Berichte dazu gibt es jedoch noch nicht. Da die Sicherheitslücke in Windows inzwischen von ersten Cybergangs angegriffen wird, sollten Administratoren und Nutzer die von Microsoft empfohlene Gegenmaßnahme umsetzen und den Protokollhandler für ms-msdt:
vorerst entfernen. Microsoft hat dazu folgende Anleitung bereitgestellt: Nutzer müssen zunächst eine administrative Eingabeaufforderung öffnen. Der Befehl reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname>
sichert den bisherigen Registry-Schlüssel in die Datei <Dateiname>
. Im Anschluss lösche der Aufruf von reg delete HKEY_CLASSES_ROOT\ms-msdt /f
den betreffenden Schlüssel. Zur späteren Wiederherstellung genügt dann der Aufruf von reg import <Dateiname>
an der administrativen Eingabeaufforderung.