Mittels präparierter Office-Dokumente versuchen Angreifer derzeit Windows-PCs mit Schadcode zu infizieren. Durch eine Sicherheitslücke (CVE-2021-40444) in der HTML-Rendering-Engine MSHTML von Windows, könnte nach dem Öffnen von solchen Dokumenten ein Trojaner auf Systeme gelangen. Ein Sicherheitsupdate wurde von Microsoft an diesem Patchday (14.09.2021) veröffentlicht.
CVSS-Score | 8.8 |
Klassifizierung | Kritisch |
Exploits vorhanden? | Ja |
Patch verfügbar? | Ja |
Beschreibung
CVE-2021-40444 ist eine kritische Zero-Day-RCE Schwachstelle in Microsoft MSHTML, welche bereits aktiv durch diverse Akteure ausgenutzt wird. Hierzu wird ein Microsoft Office – Dokument erstellt, welches ein bösartiges ActiveX-Steuerelement enthält. Dieses Word-Dokument kann anschliessend an das entsprechende Opfer übermittelt werden. Mögliches Vorgehen hierbei wären die bewährten Social-Engineering-Techniken, um das Opfer zum Öffnen des schädlichen Dokuments zu animieren.
Dabei gilt es zu beachten, dass die Vorschaufunktionalität bereits genügt, um den Schadcode innerhalb des präparierten Dokuments auszuführen.
Laut Microsoft sind die Auswirkungen dieser Schwachstelle in Fällen, in denen der Empfänger über Administratoren-rechte verfügt, besonders gross. Zum Zeitpunkt der Veröffentlichung dieses Blog-Beitrags gab es mindestens 21 Repositories auf GitHub, die Proof-of-Concept-Code für diese Schwachstelle enthielten.
Empfehlung
Wir empfehlen Unternehmen dringend, die Patches dieses Monats zu installieren, um sicherzustellen, dass diese Schwachstelle behoben ist, da es nicht lange dauern wird, bis andere Bedrohungsakteure, einschliesslich solcher, die mit Ransomware-Gruppen verbunden sind, diese Schwachstelle als Teil ihrer Angriffe ausnutzen.
Microsoft hat zudem mehrere Workarrounds veröffentlicht, welche sich im wesentlichen auf das deaktivieren von ActiveX-Steuerelementen beschränken. Leider schützen diese nur bedingt vor den bevorstehenden Angriffen.
Mittlerweile berichten Sicherheitsforscher, dass ähnlich gelagerte Angriffe auch ohne ActiveX möglich sein sollen.
Ein entsprechender POC wurde glücklicherweise noch nicht veröffentlicht.
Publikationen MSRC:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444