News „SearchNightmare“: 0-Day-Exploit in der Windows-Suche nutzt Microsoft Word

[NotNerdNotDau]

Und deswegen lässt man die Lücke lieber ganz auf? Ist nicht wirklich logisch...

Das Schließen von Sicherheitslücken in komplexer Software ist wahrscheinlich nicht so einfach und schnell durchführbar, wie man vermuten könnte. Man muss die Ursache und die Folgen des Lecks erst einmal finden und reproduzieren können.

In der Regel reagiert Microsoft sehr schnell auf derartige Vorkommnisse und leitet dann kurze Zeit später die entsprechenden Maßnahmen in die Wege.

Du kannst dir nur von dem, was du beobachtet hast, überhaupt nicht sicher sein

Ich war und bin mir auch nicht sicher und habe mich nur an den Infos, die es darüber im Netz gibt, orientiert.
Hier zum Beispiel:
Follina: Angriff über Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)

Mein Rechner war ja offensichtlich auch nicht infiziert, denn es wurden nach der Überprüfung keine Bedrohungen gefunden.

Trotzdem empfand ich es als sehr merkwürdig und ungewöhnlich, als plötzlich diese 6 leeren Word-Dateien in der Taskleiste zu sehen waren. Ich benutze Word nur sehr selten und kann mich gar nicht mehr daran erinnern, wann ich das letzte Mal ein Word-Dokument aufgerufen und bearbeitet habe.

Wie auch immer, jetzt heißt es halt abwarten und Tee trinken, bis Microsoft hoffentlich zeitnah einen Fix zur Verfügung stellt.
Bis dahin mache auch ich Gebrauch von diesen empfohlenen Übergangsmaßnahmen über die GPO.

 

[Keylan]

Und deswegen lässt man die Lücke lieber ganz auf? Ist nicht wirklich logisch... Kann dann ja mit der Dauerlösung wieder rückgängig gemacht werden. Sicherheitsmäßig für mich so nicht sinnvoll.

Ja für dich nicht. Aber den Handler einfach per Patch zu deaktivieren kann andere in den Ruin führen wenn deren Prozesse davon abhängen. Nur weil ein Workaround für eine große Masse sinnvoll ist kann er trotzdem für eine kleine Gruppe sehr schädlich sein.
Und sollte MS auf die Idee kommen mit Hotfixes mal eben meine Regestrie hin und her zu pfuschen bin ich noch schnell er weg. Das ist immer noch ein Konfigurationsmodul für Administratoren. Da sollte der Hersteller nicht einfach die Konfiguration anfassen.

 

[SIR_Thomas_TMC]

Das Schließen von Sicherheitslücken in komplexer Software ist wahrscheinlich nicht so einfach und schnell durchführbar, wie man vermuten könnte. Man muss die Ursache und die Folgen des Lecks erst einmal finden und reproduzieren können.

Ich sage (weil es so im Artikel steht), es gibt einen Workaround der zumindest viel Gefahrenpotential wegnimmt, wieso wird der nicht ausgerollt, bis eine endgültige Lösung vorliegt? Du sagst, weil das keine Dauerlosung ist. Darauf hin ich, die Lücke trotz vorhandem Workaround offen zu lassen ist unlogisch. Dann du: weil das nicht so einfach ist eine Lücke zu schließen.
Hä? Verstehst du überhaupt was ich gefragt habe? Nochmal: Wieso wird ein hilfreicher Workaround nicht über Windows Update als Übergangslösung ausgerollt?

In der Regel reagiert Microsoft sehr schnell auf derartige Vorkommnisse und leitet dann kurze Zeit später die entsprechenden Maßnahmen in die Wege.

Naja, das stimmt bei dem Thema wohl eher nicht. Ist das nicht die seit 2020 als nicht relevant eingestufte Lücke?
Übrigens, bin grundsätzlich zufrieden mit Windows und Microsoft. Nur das man nicht einen risikoverringernden Workaround als erste Hilfe ausrollt, das verstehe ich nicht.

Ergänzung (5. Juni 2022)

Nur weil ein Workaround für eine große Masse sinnvoll ist kann er trotzdem für eine kleine Gruppe sehr schädlich sein.

Und, meinst du das wäre hier der Fall?
Oder das einfach zumindest für Privatanwender auszurollen? Überzeugt mich argumentativ nicht.

 

[NotNerdNotDau]

Hä? Verstehst du überhaupt was ich gefragt habe? Nochmal: Wieso wird ein hilfreicher Workaround nicht über Windows Update als Übergangslösung ausgerollt?

Zum letzten Mal: Weil das nicht die nachhaltige Lösung für das Problem ist!

Über diese Übergangsmaßnahme wird das Ausführen von Protokollen, die über die Problembehandlung und Suchfunktion generiert werden, deaktiviert.

Und jetzt meine persönliche Empfehlung für dich:
Wende dich an Microsoft und beschwere dich dort.

 

[SIR_Thomas_TMC]

Und jetzt meine persönliche Empfehlung für dich:
Wende dich an Microsoft und beschwere dich dort

Eigentlich geht es mir darum, die Beweggründe zu verstehen. Meinst du wirklich, ernsthaft, das mir jemand da überhaupt dazu oder wenn dann inhaltlich antwortet?

Weißt du, eine Folie bei einer defekten Seitenscheibe ist auch nicht die endgültige Lösung. Trotzdem wird das genau so gemacht, wenn die endgültige Lösung nicht verfügbar ist.

Meinst du denn nicht, dass die nicht endgültige Lösung das Risikopotential dieser Sicherheitslücke trotzdem enorm verringert? So hab ich die Infos im Artikel und im Thread jedenfalls verstanden. Und es kann durchaus sein, daß ich komplett falsch liege, denn ich bin nämlich absolut kein Fachmann dazu. Darum versuche ich mir ja anhand der Informationen, die ich verstehe, meine eigene Meinung zu bilden und frage, wo sich mir was nicht erschließt, (ich dachte höflich) nach.

 

[MountWalker]

[...] Wieso wird ein hilfreicher Workaround nicht über Windows Update als Übergangslösung ausgerollt?
[...]

Weil Microsoft erwartet, dass die unerwünschten Nebeneffekte des Workarounds zu groß sind und das Gefahrenpotential nur dieser einen Lücke für sich allein betrachtet für das Inkaufnehmen der Nachteile zu gering ist.

 

[SIR_Thomas_TMC]

die unerwünschten Nebeneffekte des Workarounds zu groß

Hm, ok. (und danke) Wundert mich, vor allem weil ich mir keine Software vorstellen kann, die genau dieses Verhalten nutzt. Aber das mag wieder daran liegen, dass ich mich da nicht auskenne. Wüsstest du oder wer anders ein Beispiel?

 

[MountWalker]

Naja, die "Problemlösung" von Windows läuft hinterher nicht mehr richtig und mir persönlich hat die zwar noch nie wirklich helfen können, aber es scheint wohl Kunden zu geben, die das wirklich benutzen. Das ist die Funktion, die aufpoppt, wenn z.B. (unter vielem anderen) ein Programm beim Start abschmiert und plötzlich ein Fenster öffnet, in dem ungefähr steht "etwas scheint schiefgegangen zu sein, soll ich automatisiert nach Lösungen suchen?" gefolgt von "Das Programm scheint für eine ältere Windows-Version entworfen zu sein. Haben Sie schon einmal den Kompatibilitätsmodus probiert? Wenn sie wissen wollen, wie sie den Kompatibilitätsmodus für eine Anwendung einschalten, drücken Sie hier" gefolgt von "War das hilfreich? Nein? Soll ich nach Lösungen im Web suchen?" und "ja" öffnet dann eine lange Liste von TechNet-Problem-Threads, die alle irgendwie in meiner Erfahrung eher selten mit dem eigenen Problem zu tun haben, aber manchmal hilfts vielleicht.

 

[GrayWolf]

Ich würde behaupten dass die Problemlösungs-funktion von Windows nicht das Problem für dich vollautmatisiert lösen kann/soll sondern dass sie Anwendern die keinen ITler zur Hand haben Anhaltspunkte liefern kann.

 

[SIR_Thomas_TMC]

@MountWalker Ah, ja, die hab ich sogar ab und an schon mal selbst genutzt. Hat mal mehr, oft weniger geholfen. Ok, das ist ein gutes Beispiel das ich verstehe. Merci.

 

[NotNerdNotDau]

Eigentlich geht es mir darum, die Beweggründe zu verstehen. Meinst du wirklich, ernsthaft, das mir jemand da überhaupt dazu oder wenn dann inhaltlich antwortet?

Das weiß ich nicht.
Aber ich bin ja nun auch kein Sicherheitsexperte und kann mich auch nur an dem orientieren, was mir unter die Augen kommt und ich halbwegs nachvollziehen kann.

Wenn vom Entwickler bei solchen (schwerwiegenden) Problemen Sofortmaßnahmen empfohlen werden, dann dient das in der Regel eher dazu, um die Kundschaft / Benutzer ruhig zu stellen, damit die nicht in Panik geraten.

 

[DKK007]

Upgrade auf Windows 10 geht nicht, weil ...?

Der Aufwand lohnt sich bei dem PC nicht mehr.
Zumal ich den PC nur noch alle paar Monate mal nutze und dann keinen Nerv habe da erstmal Stunden das Update auf die nächste Win10-Version abzuwarten.

 

[TP555]

Hi

Hier noch ein Video (Search-ms) , wie so ein Angriff aussehen könnte , und eben der bekannte Workaround.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Mfg.

 

[keepsmiley5750]

Schön das es bei einer XBox worüber ich surfe,nicht so leicht möglich ist,da weder Exe. Dateien ,noch Downloads ausgeführt werden können,noch eine Registry vorhanden ist,der Angriff würde faktisch ins leere laufen.

Allerdings mache ich mir gerade sorgen wegen meines Windows Laptops ,solange diese Lücke nicht gepatcht ist ,werde ich wohl mit meiner XBox surfen und Medien konsumieren ,gegebenenfalls wohl auch wieder mit Chrome OS arbeiten.

Aber immer wieder interessant zu sehen ,mich hat so etwas damals schon irgendwie interessiert .

 

[DerOlf]

Meine Lösung (die bisher für alle dwnloadable malware funktioniert hat).
Ich lasse meinen Browser und alles, was aus dem Internet kommt, erstmal nur im Sandkasten spielen.
Dateien von unbekannten Quellen öffne ich eh nicht ... meist sehe ich mir die E-mails von unbekannten Absendern nichtmal an.
Wen ich das im Job tun müsste, dann hätte ich einen Laptop, der nur für die Arbeit genuztzt wird ... und bei dem wäre mir vieles so ziemlich egal.

Erst wenn ich mir ganz genau angesehen habe, was nach dem öffnen einer mir eigentlich bekannten und angekündigten Datei in der Sandbox passiert ist, erwäge ich, diese aus dem Sandkasten rauszuholen.
Wenn ich eine im Sandkasten befindliche Datei öffne, dann werden auch sämtliche Programme, die damit eventuell gestartet werden, lediglich sandboxed ausgeführt ... dürfen also nur mit einer Kopie meines Systems spielen.

Browser und eventuell laufende Programme werden dann auch nicht normal beendet ... ich lösche einfach die Sandbox und gebe den Programen damit nichtmal die Möglichkeit, ihre shut-down-routinen auszuführen (nix mit nochmal schnell nach hause telefonieren, Nutzungslogs anlegen oder so).

Wie bei den vergangenen Schreckensmeldungen ist mir also auch dieser Exploit relativ egal ... denn das, was nötig ist, damit die genutzt werden können, verkneife ich mir, seit ich das Internet nutze.
Wichtige Dinge gibts sowieso nochmal auf externen Datenträgern (ich mache oft sofort eine Sicherheitskopie auf eine HDD, oder einen Stick, die normalerweise nicht am System hängen ... und wenn sie mal dranhängen, ist das System offline), also kann ich mein System im Notfall auch mal einfach platt machen.
Ich vertraue dem Internet keinen Millimeter.

 

[SIR_Thomas_TMC]

Also deinen grundsätzlichen Ansatz alles was Kontakt mit unbekanntem haben könnte zu Sandboxen, finde ich gut. Hab ich auch mal probiert, leider krieg ich das nicht zuverlässig hin mit der Sandbox (am Anfang hat es funktioniert, dann plötzlich nicht mehr).

Hier sträubt sich mir aber alles:

Wen ich das im Job tun müsste, dann hätte ich einen Laptop, der nur für die Arbeit genuztzt wird ... und bei dem wäre mir vieles so ziemlich egal.

Wieso ist dir Malware und mögliche Angriffspunkte auf der arbeit egal? Ich mein ja nicht, dass du da seitens der IT was machen musst (natürlich könntest du was vorschlagen), aber alles/vieles egal, dein Chef oder Arbeitgeber würde ich so jedenfalls nicht sein wollen. Da ist es ja noch besser, jemand macht das falsch, weil er keine Ahnung hat. Aber so....

 

[cbtestarossa]

Wer als Windows User fuer Linux Virenscanner fordert, hat den Knall nicht gehoert.

AV Scanner sind unter Windows weder empfehlenswert noch erhoehen sie die Sicherheit des Systems.glich :-)

1. das behaupten die Linuxer ja immer voller Stolz
2. warum bietet dann MS selbst einen AV Guard defaultmäßig an und ist auch aktiv

ne erspar uns bitte deine Erklärungen

 

[dh9]

1. das behaupten die Linuxer ja immer voller Stolz
2. warum bietet dann MS selbst einen AV Guard defaultmäßig an und ist auch aktiv

ne erspar uns bitte deine Erklärungen

Weil Windows so loechrig wie ein Schweizer Kaese ist?
Und wenn du schon zitierst, ein Satz weiter unten stand "Der Defender reicht hier vollkommen aus.".

 

[DonSerious]

Gab es eigentlich jemals ein Update für Search Nightmare? Kann in Google nicht wirklich was finden. Und wurde Print Nightmare je gepatched? Habe das Gefühl die gehen davon aus dass jeder die Workarounds nutzt.

 

[dh9]

Follina wurde gepatched (https://www.borncity.com/blog/2022/...-2022-30190-in-windows-mit-juni-2022-updates/), zu Print Nightmare (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527, https://www.bleepingcomputer.com/ne...ghtmare-0-day-exploit-allows-domain-takeover/) finde ich leider nichts...