Die Sicherheitslücke CVE-2023-36884 ermöglicht es Ransomware-Angriffe aus der Ferne durchzuführen. Microsoft hat die Lücke als „wichtig“ eingestuft! Betroffen sind alle aktuellen Windows- und Office-Versionen, bis hin zu Windows 11, Windows Server 2022 sowie Microsoft 365-Apps.
Ursprung der Sicherheitslücke
Die Lücke wurde durch die russische Hackergruppe Storm-0978 (auch als Dev-0978 oder RomCom bekannt) bekannt. Die Gruppe die vor allem durch Spionage- und Ransomware-Angriffe bekannt ist, hat in den vergangenen Monaten außerdem häufig die Regierungsbehörden der Ukraine angegriffen.
Wie kann ich mich schützen?
Sofern Windows 10/Windows 11 oder Windows Server 2019/Windows Server 2022 eingesetzt wird, sollte darauf geachtet werden, dass in den Einstellungen im Windows-Sicherheitscenter die Option für „Cloudbasierter Schutz“ aktiv ist.
„Viren- und Bedrohungsschutz -> Einstellungen für Viren- und Bedrohungsschutz -> Einstellungen verwalten“ die Option „Cloudbasierter Schutz“
Allgemein empfiehlt sich zu prüfen, ob auf der Startseite der Windows-Sicherheits-App ein grüner Haken dargestellt wird. Somit wird bestätigt, dass das System maximal geschützt ist.
Wichtig ist es, auf allen Systemen mit Microsoft Office den Registry-Schlüssel „FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION“ unter dem Pfad „HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl“ zu erstellen. Anschließend muss für jede der betroffenen Office-Anwendungen ein neuer „RED_DWORD“ – Eintrag mit dem Wert „1“ erstellt werden.
- Excel.exe
- Graph.exe
- MSAccess.exe
- MSPub.exe
- Powerpnt.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
Ein anschließender Neustart ist nicht zwingend erforderlich, allerdings sollten die Office-Anwendungen neu gestartet werden.
