Bereits im April soll Medienberichten zufolge ein von Microsoft als Remotecodeausführungsfehler im Microsoft Windows Support Diagnostic Tool beschriebener Fehler aufgetaucht sein. Er betrifft alle Windows-Client- und -Serverplattformen, die noch Sicherheitsupdates erhalten, also ab Windows 7 aufsteigend. Der Fehler wurde damals von Microsoft zunächst jedoch nicht als sicherheitsrelevantes Problem gekennzeichnet.

TA413, eine mutmaßlich mit chinesischen Staatsinteressen verbundene Hacking-Gruppe, hat sich diese Schwachstelle jetzt zunutze gemacht, um die Mitglieder der internationalen tibetanischen Gemeinschaft anzugreifen. Dabei imitiert die Kampagne den „Women Empowerments Desk“ der zentral-tibetanischen Verwaltung. Wie am 30. Mai von Proofpoint-Sicherheitsforschern festgestellt wurde, verwenden die Angreifer CVE-2022-30190-Exploits, um bösartigen Code über das MSDT-Protokoll auszuführen, wenn Zielpersonen Word-Dokumente öffnen oder sich in der Vorschau anzeigen lassen.

„Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, kann beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen“, erklärt Microsoft in einer frisch herausgegebenen neuen Anleitung, die Administratoren Abhilfe schaffen soll. „Der Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten in dem von den Rechten des Benutzers erlaubten Rahmen erstellen.“

Angriffe, die die Sicherheitslücke ausnutzen, können laut Microsoft blockiert werden, indem das MSDT-URL-Protokoll deaktiviert wird, das die Hacker missbrauchen, um bösartigen Code auszuführen. Außerdem wird empfohlen, das Vorschaufenster im Windows Explorer zu deaktivieren, da dies ein weiterer Angriffsvektor ist, der ausgenutzt werden kann, wenn eine Vorschau der schädlichen Dokumente angezeigt wird.