Bereits seit Ende Mai nutzen Angreifer eine Sicherheitslücke in Windows aus, über die mit vergleichsweise wenig Aufwand Schadcode auf Systeme geschoben und ausgeführt werden kann. Am monatlichen Patchday ist nun ein Sicherheitspatch erschienen, den man aber auf den ersten Blick nicht findet. Die MSDT-Schwachstelle (CVE-2022-30190 „hoch“) betrifft den gleichnamigen URI-Handler von Microsoft. Im Zuge der Attacken haben Sicherheitsforscher ein präpariertes Word-Dokument entdeckt, das die Remote-Template-Funktion von Word nutzt, um eine HTML-Datei herunterzuladen. Die Datei nutzt wiederum den URI-Hanlder ms-msdt:
und lädt darüber Schadcode nach. Das funktioniert auch dann, wenn Makros deaktiviert sind. Handelt es sich um ein Dokument im RTF-Format, muss ein Opfer die Datei noch nicht mal öffnen, um einen Angriff einzuleiten. In den Warnmeldungen zum aktuellen Patchday sucht man aber vergeblich nach dem Sicherheitsupdate, das die Lücke schließt. Microsoft hat einen Support-Beitrag aus Mai 2022 mit dem MSDT-Diagnosetool um das Update ergänzt und rät aufgrund der derzeitigen Attacken dringend zur Installation. Drei Schwachstellen in Windows Hyper-V (CVE2022-30163), Windows LDAP (CVE-2022-30139) und Windows NFS (CVE-2022-30136) stuft Microsoft als „kritisch“ ein. Nach erfolgreichen Attacken könnten Angreifer etwa aus einer virtuellen Maschine ausbrechen und Schadcode im Host-System ausführen. Durch die NFS-Lücke könnte ebenfalls Schadcode in Systeme schlüpfen. Attacken sollen in diesem Fall aus der Ferne möglich sein. Der Großteil der verbleibenden Sicherheitslücken ist mit dem Bedrohungsgrad „hoch“ eingestuft. Hier könnten Angreifer beispielsweise an Microsoft Office ansetzen und auf eigentlich abgeschottete Informationen zugreifen und sich in Azure Open Management Infrastructure erhöhte Nutzerrechte verschaffen. Dem jetzigen Informationsstand zufolge wurden die beim Hacking-Wettbewerb Pwn2Own demonstrierten Windows-Lücken noch nicht geschlossen. Der Internet Explorer ist Geschichte. Microsoft stellt den Support ein und der Browser bekommt keine Sicherheitsupdates mehr. Dementsprechend sollten man ihn nicht mehr benutzen. Der IE-Modus in Edge soll noch bis 2029 unterstützt werden.