[English]Mit den zum 14. Juni 2022 veröffentlichten Sicherheitsupdates für Windows wurde auch die Schwachstelle im ms-msdt:-Protokoll geschlossen, die den Missbrauch des Microsoft Support Diagnostics Utility ermöglichte. Die unter dem Namen Follina bekannt gewordene Schwachstelle CVE-2022-30190 wird bereits in Angriffen ausgenutzt. In den Supportbeiträgen zu den einzelnen Updates schreibt Microsoft nichts zu diesem Fix. Daher fasse ich die relevanten Informationen in nachfolgendem Beitrag zusammen.
Anzeige
Follina-Schwachstelle (CVE-2022-30190)
Bei der seit Ende Mai 2022 öffentlich gewordenen Schwachstelle CVE-2022-30190 (aka Follina) kann das Microsoft Support Diagnostics Utility (msdt.exe)über das ms-msdt:-Protokoll missbraucht werden, um bösartige Word-Dokumente (oder Excel-Arbeitsblätter) aus dem Web herunterzuladen. Zudem sind auch Wege zum Missbrauch über Wget in der PowerShell bekannt. Der Angreifer kann die Sicherheitslücke ausnutzen, um Remote-Code mit den Rechten der aufrufenden Anwendung ausführen.
Ich hatte diesen Sachverhalt im Blog u.a. in den Beiträgen Follina: Angriff über Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190) und Follina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen & Angriffe aufgegriffen (siehe auch Links am Artikelende). Betroffen sind laut Microsoft Windows Server 2019 sowie Windows 10 Version 1809 und später, wobei Microsoft jetzt Patches für alle Windows-Versionen (Clients und Server veröffentlicht hat).
Patch mit den Juni 2022-Updates
Microsoft hat mit den Windows Sicherheits-Updates vom 14. Juni 2022 auch die Schwachstelle CVE-2022-30190 (Follina) gepatcht, dieses aber in den betreffenden KB-Artikeln nicht erwähnt (Will Dormann ist das auch aufgefallen). Ich hatte in den am Artikelende verlinkten Beiträgen drauf hingewiesen. Der Hinweis, dass etwas in Bezug auf diese Schwachstelle gepatcht wurde, findet sich im Eintrag Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability vom 30. Mai 2022, wo ein kurzer Hinweis als Ergänzung zu finden ist.
06/14/2022 – Announced updates that address the vulnerability.
Mehr Details hat Microsoft im Artikel zu CVE-2022-30190 vom 30. Mai 2022 veröffentlicht, der ebenfalls zum 14. Juni 2022 aktualisiert wurde. In diesem Artikel werden folgende Sicherheitsupdates zum Schließen der Schwachstelle aufgelistet.
Anzeige
- KB5014678: Windows Server 2022
- KB5014697: Windows 11
- KB5014699: Windows 10 Version 20H2 – 21H2, Windows Server 20H2
- KB5014692: Windows 10 Version 1809 (IoT), Windows Server 2019
- KB5014702: Windows 10 1607 (LTSC), Windows Server 2016
- KB5014710: Windows 10 1507 (RTM, LTSC)
- KB5014738: Monthly Rollup Windows Server 2012 R2, Windows RT 8.1, Windows 8.1
- KB5014746: Security only Windows Server 2012 R2, Windows RT 8.1, Windows 8.1
- KB5014747: Monthly Rollup Windows Server 2012
- KB5014741: Security only Windows Server 2012
- KB5014748: Monthly Rollup Windows Server 2008 R2, Windows 7 SP1
- KB5014742: Security only Windows Server 2008 R2, Windows 7 SP1
Damit stehen für alle für Windows Server und Client-Versionen, die noch im Support sind, entsprechende Sicherheitsupdates bereit. Die Schwachstelle ist als "important" bewertet, d.h. die Updates sollten zeitnah installiert werden, um die bereits beobachtete Ausnutzung zu unterbinden.
Von Sicherheitsfirmen wie Tenable kommt Kritik bezüglich der Informationspolitik Microsofts. Die Schwachstellen wurden im Mai 2022 bekannt, aber es gab seit sechs Wochen Versuche zur Ausnutzung. Im Vorfeld des Patch Tuesday habe es viele Spekulationen darüber gegeben, ob Microsoft Patches veröffentlichen würde, heißt es. Zudem habe Microsoft die Schwachstelle zunächst heruntergespielt, obwohl sie bereits ausgenutzt wurde. Und die Information, dass Follina gepatcht wurde, muss man sich auch zusammen suchen, wie ich oben erwähnt habe. Insgesamt werden die Informationen zu den Sicherheitsupdates bei Microsoft immer spärlicher (siehe auch meine Hinweise auf Details, was gepatcht wurde, im Blog-Beitrag Patchday: Windows 11/Server 2022-Updates (14. Juni 2022)). Die Hinweise Microsofts zum Entschärfen der Schwachstellen waren zudem nicht ausreichend, wie diverse Diskussionen rund um die Follina-Beiträge hier im Blog zeigen.
Ähnliche Artikel:
Microsoft Security Update Summary (14. Juni 2022)
Patchday: Windows 10-Updates (14. Juni 2022)
Patchday: Windows 11/Server 2022-Updates (14. Juni 2022)
Windows 7/Server 2008R2; Windows 8.1/Server 2012R2: Updates (14. Juni 2022)
Follina: Angriff über Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)
Follina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen & Angriffe
0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows
Follina (CVE-2022-30190): Angriffswelle ausgeblieben, aber Kampagnen auf EU/US und andere Ziele
Follina-Schwachstelle (CVE-2022-30190): Neue Erkenntnisse, neue Risiken (9.6.2022)
Anzeige
Dogwalk…
https://www.neowin.net/news/june-patch-tuesday-microsoft-fixes-follina-vulnerability-but-not-dogwalk/
Die Dogwalk-Schwachstelle wird von Microsoft nicht gefixt – hatte ich im Blog thematisiert und einen inoffiziellen Fix vorgestellt.
Den 2. Post mit dem Bilderlink zu neowin.net habe ich gelöscht, da ich bei dem Meme in Konflikte mit der Urheberschaft kommen könnte.
Gelöschten Registrierungsschlüssel vor dem Update erst noch zurück importieren?
Ja, sofern das Feature genutzt werden soll.
Ich habe das Update schon durchgeführt, ohne vorher den Regschlüssel wieder einzuspielen. Schlimm? Geht das auch noch nachträglich?
Du kannst den Schlüssel nachträglich importieren.