Zero-Day-Lücke wird zum Problem

Zunächst war offensichtlich angenommen worden, dass es sich um einen Lücke in Office 360 handelt und nicht so gravierend ist, daher fehlt augenscheinlich noch immer ein Patch. Doch der Fehler liegt, wie inzwischen bekannt, in der ms-msdt-Protokoll-Handler. Über diesen kann mittels Powershell-Script in manipulierten rtf-Dokumenten (gefunden wurden solche z.B. in Dokumenten, die eine Gehaltserhöhung versprachen) weiterer Schadcode von einem Internetserver nachgeladen werden. Aufgrund der Vorgehensweise, der Professionalität und der Ziele der Angreifer geht man momentan von staatlichen Akteuren aus. So ist die Aufgabe der Schadsoftware vor allem Aufklärung und der Diebstahl von Daten auf Rechnern von Regierungsorganisationen der westlichen Welt. Da sich manch rtf natürlich von dort auf private Rechner verbreitet, sollte aber natürlich auch der gemeine User bei rtf-Dokumenten vorsichtig sein, selbst wenn sie von bekannten Absendern kommen. Übrigens reicht es bereits, das Dokument in der Explorer-Vorschau aufzurufen, um sich die Schadsoftware einzufangen.

Um auf der sicheren Seite zu sein, hilft es aktuell nur, in einem Workaround den ms-msdt manuell zu deaktivieren. Microsoft schreibt dazu:

Nutzer müssen zunächst eine administrative Eingabeaufforderung öffnen. Der Befehl reg export HKEY_CLASSES_ROOT\ms-msdt <Dateiname> sichert den bisherigen Registry-Schlüssel in die Datei <Dateiname>. Im Anschluss lösche der Aufruf von reg delete HKEY_CLASSES_ROOT\ms-msdt /f den betreffenden Schlüssel. Zur späteren Wiederherstellung genügt dann der Aufruf von reg import <Dateiname> an der administrativen Eingabeaufforderung.