Microsoft Word – MSHTML RCE-Vulnerability

Mittels präparierter Office-Dokumente versuchen Angreifer derzeit Windows-PCs mit Schadcode zu infizieren. Durch eine Sicherheitslücke (CVE-2021-40444) in der HTML-Rendering-Engine MSHTML von Windows, könnte nach dem Öffnen von solchen Dokumenten ein Trojaner auf Systeme gelangen. Ein Sicherheitsupdate wurde von Microsoft an diesem Patchday (14.09.2021) veröffentlicht.

CVSS-Score8.8
KlassifizierungKritisch
Exploits vorhanden?Ja
Patch verfügbar?Ja

Beschreibung

CVE-2021-40444 ist eine kritische Zero-Day-RCE Schwachstelle in Microsoft MSHTML, welche bereits aktiv durch diverse Akteure ausgenutzt wird. Hierzu wird ein Microsoft Office – Dokument erstellt, welches ein bösartiges ActiveX-Steuerelement enthält. Dieses Word-Dokument kann anschliessend an das entsprechende Opfer übermittelt werden. Mögliches Vorgehen hierbei wären die bewährten Social-Engineering-Techniken, um das Opfer zum Öffnen des schädlichen Dokuments zu animieren.

Dabei gilt es zu beachten, dass die Vorschaufunktionalität bereits genügt, um den Schadcode innerhalb des präparierten Dokuments auszuführen.

Laut Microsoft sind die Auswirkungen dieser Schwachstelle in Fällen, in denen der Empfänger über Administratoren-rechte verfügt, besonders gross. Zum Zeitpunkt der Veröffentlichung dieses Blog-Beitrags gab es mindestens 21 Repositories auf GitHub, die Proof-of-Concept-Code für diese Schwachstelle enthielten.

Empfehlung

Wir empfehlen Unternehmen dringend, die Patches dieses Monats zu installieren, um sicherzustellen, dass diese Schwachstelle behoben ist, da es nicht lange dauern wird, bis andere Bedrohungsakteure, einschliesslich solcher, die mit Ransomware-Gruppen verbunden sind, diese Schwachstelle als Teil ihrer Angriffe ausnutzen.

Microsoft hat zudem mehrere Workarrounds veröffentlicht, welche sich im wesentlichen auf das deaktivieren von ActiveX-Steuerelementen beschränken. Leider schützen diese nur bedingt vor den bevorstehenden Angriffen.

Mittlerweile berichten Sicherheitsforscher, dass ähnlich gelagerte Angriffe auch ohne ActiveX möglich sein sollen.

Ein entsprechender POC wurde glücklicherweise noch nicht veröffentlicht.

Publikationen MSRC:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

Weitere Blog-Beiträge

Ein blaues Auge in Nahaufnahme, umgeben von digitalen Linien und Text „Beyond Prevention: Blue Team Operations“, das Security Monitoring symbolisiert. Unten rechts das Logo von T-Alpha IT Security.
Threat Detection and Analysis

Ransomware Insights: Erkennung und Abwehr von Angriffen

Ransomware bleibt eine der grössten Bedrohungen für Unternehmen, doch der wahre Schutz beginnt erst, wenn ein Angreifer bereits im Netzwerk ist. Klassische Sicherheitsmassnahmen wie Firewalls und Antivirus reichen nicht mehr aus, um heutige Angriffe zu erkennen und abzuwehren. In diesem Beitrag zeigen wir, wie Forensic Validation und spezialisierte Blue Team-Strategien helfen, Angreifer frühzeitig zu identifizieren und ihre Aktionen zu stoppen. Entdecken Sie, warum Erkennung und Reaktion unverzichtbare Bestandteile einer modernen Cybersicherheitsstrategie sind.

Ivan Stricker 13/11/2024
„Ransomware Insights 2024: Ausgenutzte Sicherheitslücken in populären Software-Produkten“ – Eine Grafik der T-Alpha GmbH zur Darstellung der häufigsten Angriffspunkte von Ransomware-Gruppen im Jahr 2024. Zu den betroffenen Anbietern gehören unter anderem Citrix, Fortinet, Veeam, Apache, Microsoft Exchange, Cisco, und VMware. Das T-Alpha-Logo ist oben rechts platziert, die Liste der Software-Anbieter in der unteren Hälfte.
Cyber Threat Intelligence

Ransomware Insights

Sicherheitssoftware im Visier der Cyberkriminellen Ransomware bleibt auch 2024 eine der grössten Bedrohungen für Unternehmen weltweit. Im Rahmen unseres Threat-Intelligence-Programms haben wir die aktivsten und

Ivan Stricker 05/11/2024
  • Home
  • Über Uns
  • Referenzen
  • Security Checks
  • Awareness Training
  • Security Assessment
  • Kontakt
  • Blog