Follina: Inoffizieller Patch für Zero-Day-Lücke in Windows verfügbar

Stefan Beiersmann,
Windows (Bild: Microsoft)

Ein Angreifer kann Schadcode per PowerShell ausführen. Hacker nutzen die Schwachstelle bereits aktiv aus. Microsoft bietet zudem einen Workaround an.

Für die seit Ende der Woche bekannte Zero-Day-Lücke in Windows, die inzwischen auch aktiv von Hackern ausgenutzt wird, liegt nun ein inoffizieller Patch vor. Er soll verhindern, dass Angreifer mit nur wenig Interaktion durch den Nutzer in der Lage sind, PowerShell-Befehle auf einem vollständig gepatchten Windows-System auszuführen. Microsoft bietet zudem eine Behelfslösung an, die jedoch zu Funktionseinschränkungen führt.

Die Follina genannte Schwachstelle steckt laut Microsoft im Microsoft Support Diagnostic Tool (MSDT). Ruft eine Anwendung wie beispielsweise Word das URL-Protokoll auf, kann ein Angreifer beliebigen Code mit den Rechten der aufrufenden Anwendungen ausführen. Laut Microsoft ist es möglich, Programme zu installieren, Daten einzusehen oder gar zu löschen und sogar neue Nutzerkonten anzulegen.

Der inoffizielle Patch wurde vom Sicherheitsanbieter 0Patch entwickelt. „Es wäre bei weitem am einfachsten, msdt.exe durch einen TerminateProcess()-Aufruf zu deaktivieren. Dies würde jedoch den Windows-Diagnoseassistenten unbrauchbar machen, auch für Nicht-Office-Anwendungen. Eine andere Möglichkeit wäre, die Empfehlung von Microsoft in einem Patch zu verarbeiten und damit den ms-msdt: URL-Protokoll-Handler effektiv zu deaktivieren. Aber wenn möglich, wollen wir die Nebenwirkungen minimieren“, schreibt dessen CEO Mitja Kolsek in einem Blogeintrag.

Microsoft rät zur Abschaltung des URL-Protokolls

Deshalb habe man nicht die ausführbare Datei des Diaganosediensts msdt.exe gepatcht, sondern die Datei sdiagnhost.exe. Der Patch von 0Patch prüft, vor dem Aufruf „RunScript“, ob der vom Nutzer gelieferte Pfad eine Zeichenfolge enthält, die wiederum zum Ausführen von Power-Shell-Code benötigt wird. Werde diese entdeckt, stelle der Patch sicher, dass der Aufruf „RunScript“ ignoriert werde – ohne Auswirkungen auf das eigentliche Diagnose-Tool.

Microsoft schlägt indes vor, bis zur Verfügbarkeit eines offiziellen Updates das MSDT-URL-Protokoll abzuschalten. In einem Blogeintrag beschreibt das Unternehmen, wie dies über eine Änderung in der Registrierungsdatenbank umgesetzt – und wieder rückgängig gemacht werden kann.

Unklar ist indes, wann Microsoft die Sicherheitslücke schließen wird. Der nächste Patchday findet am 14. Juni statt. Microsoft könnte jedoch auch vorab einen außerplanmäßigen Patch bereitstellen.