Microsoft Word – MSHTML RCE-Vulnerability

Mittels präparierter Office-Dokumente versuchen Angreifer derzeit Windows-PCs mit Schadcode zu infizieren. Durch eine Sicherheitslücke (CVE-2021-40444) in der HTML-Rendering-Engine MSHTML von Windows, könnte nach dem Öffnen von solchen Dokumenten ein Trojaner auf Systeme gelangen. Ein Sicherheitsupdate wurde von Microsoft an diesem Patchday (14.09.2021) veröffentlicht.

CVSS-Score8.8
KlassifizierungKritisch
Exploits vorhanden?Ja
Patch verfügbar?Ja

Beschreibung

CVE-2021-40444 ist eine kritische Zero-Day-RCE Schwachstelle in Microsoft MSHTML, welche bereits aktiv durch diverse Akteure ausgenutzt wird. Hierzu wird ein Microsoft Office – Dokument erstellt, welches ein bösartiges ActiveX-Steuerelement enthält. Dieses Word-Dokument kann anschliessend an das entsprechende Opfer übermittelt werden. Mögliches Vorgehen hierbei wären die bewährten Social-Engineering-Techniken, um das Opfer zum Öffnen des schädlichen Dokuments zu animieren.

Dabei gilt es zu beachten, dass die Vorschaufunktionalität bereits genügt, um den Schadcode innerhalb des präparierten Dokuments auszuführen.

Laut Microsoft sind die Auswirkungen dieser Schwachstelle in Fällen, in denen der Empfänger über Administratoren-rechte verfügt, besonders gross. Zum Zeitpunkt der Veröffentlichung dieses Blog-Beitrags gab es mindestens 21 Repositories auf GitHub, die Proof-of-Concept-Code für diese Schwachstelle enthielten.

Empfehlung

Wir empfehlen Unternehmen dringend, die Patches dieses Monats zu installieren, um sicherzustellen, dass diese Schwachstelle behoben ist, da es nicht lange dauern wird, bis andere Bedrohungsakteure, einschliesslich solcher, die mit Ransomware-Gruppen verbunden sind, diese Schwachstelle als Teil ihrer Angriffe ausnutzen.

Microsoft hat zudem mehrere Workarrounds veröffentlicht, welche sich im wesentlichen auf das deaktivieren von ActiveX-Steuerelementen beschränken. Leider schützen diese nur bedingt vor den bevorstehenden Angriffen.

Mittlerweile berichten Sicherheitsforscher, dass ähnlich gelagerte Angriffe auch ohne ActiveX möglich sein sollen.

Ein entsprechender POC wurde glücklicherweise noch nicht veröffentlicht.

Publikationen MSRC:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

Weitere Blog-Beiträge

Mythos 10 - IT Sicherheit
Mythos

Mythos 10 – IT Sicherheit ist teuer und unkomfortabel…

Die meisten Mitarbeitenden stehen dem Thema IT Sicherheit äusserst skeptisch gegenüber. Wie könnten Sie auch die menschenverachtenden Passwort-Richtlinien vergessen, welche die IT-Abteilung im vergangenen Jahr

David Dutler 03/04/2022
smarthome
Mythos

Mythos 9 – Smarthome kann jeder…

Die Digitalisierung schreitet voran und macht auch vor unserem Zuhause nicht halt. Heutzutage sind intelligente Häuser (Smarthome) der letzte Schrei der Technik und aufgrund der

Ivan Stricker 23/01/2022
  • Home
  • Über Uns
  • Referenzen
  • Security Checks
  • Awareness Training
  • Security Assessment
  • Kontakt
  • Blog