Zero-Day-Sicherheitsanfälligkeit, die Windows-Nutzer mit Microsoft Office-Dokumenten betrifft

Microsoft gab am Dienstag eine Sicherheitswarnung heraus, in der eine Sicherheitsanfälligkeit für die Remote-Codeausführung in MSHTML identifiziert wurde, die Microsoft Windows betrifft, indem speziell gestaltete Microsoft Office-Dokumente verwendet werden.

Verfolgt als CVE-2021-40444 (CVSS-Score: 8.8), ist diese Sicherheitsanfälligkeit für die Remote-Codeausführung in MSHTML (auch bekannt als Trident), einer proprietären Browser-Engine für die Microsoft Windows-Version von Internet Explorer, eingebettet und betrifft Windows Server 2008 bis 2019 und Windows 8.1 bis 10.

„Ein Angreifer könnte ein bösartiges ActiveX-Steuerelement erstellen, das von einem Microsoft Office-Dokument verwendet wird, das die Browser-Rendering-Engine hostet. Der Angreifer müsste dann den Benutzer überzeugen, das bösartige Dokument zu öffnen“, sagte das Unternehmen in der Sicherheitswarnung.

„Benutzer, deren Konten so konfiguriert sind, dass sie über weniger Benutzerrechte im System verfügen, könnten weniger betroffen sein als Benutzer, die mit administrativen Benutzerrechten arbeiten.“

Laut dem Unternehmen bieten sowohl ihr Microsoft Defender Antivirus als auch Microsoft Defender für Endpunkte Erkennung und Schutz vor der bekannten Sicherheitsanfälligkeit. Es hat seinen Kunden geraten, ihre Antimalware-Produkte auf dem neuesten Stand zu halten, und diejenigen, die automatische Updates nutzen, müssen keine zusätzlichen Maßnahmen ergreifen.

Unternehmenskunden, die Updates verwalten, sollten die Erkennungsbuild 1.349.22.0 oder neuer auswählen und in ihren Umgebungen bereitstellen. Microsoft Defender für Endpunkte wird Warnungen anzeigen wie: „Verdächtige Cpl-Dateiausführung“.

Microsoft erklärte, dass es nach Abschluss der Untersuchung die geeigneten Maßnahmen ergreifen wird, um seine Kunden zu schützen, was die Bereitstellung eines Sicherheitsupdates über unseren monatlichen Veröffentlichungsprozess oder die Bereitstellung eines außerplanmäßigen Sicherheitsupdates, abhängig von den Bedürfnissen der Kunden, umfassen kann.

Der Redmonder Riese würdigte Rick Cole vom Microsoft Threat Intelligence Center (MSTIC), Dhanesh Kizhakkinan, Bryce Abdo und Genwei Jiang von Mandiant sowie Haifei Li von EXPMON für die Entdeckung der Sicherheitsanfälligkeit.

Andrew Thompson, ein Bedrohungsanalyst bei Mandiant, bemerkte, dass „robuste Erkennungen, die sich auf das Verhalten nach der Ausnutzung konzentrieren, ein Sicherheitsnetz sind, das es Ihnen ermöglicht, Eindringlinge zu erkennen, die mit der Ausnutzung von Zero-Day-Sicherheitsanfälligkeiten verbunden sind.“

EXPMON sagte in einem Tweet, dass sie einen „hochgradig ausgeklügelten Zero-Day-Angriff“ auf Microsoft Office-Nutzer festgestellt haben.

„Wir haben den Angriff auf dem neuesten Office 2019/Office 365 unter Windows 10 (typische Benutzerumgebung) reproduziert. Für alle betroffenen Versionen lesen Sie bitte die Microsoft-Sicherheitswarnung. Der Exploit nutzt logische Fehler, sodass die Ausnutzung perfekt zuverlässig (& gefährlich) ist“, twitterte das Unternehmen.

In der Zwischenzeit hat Microsoft keine Informationen über die Art der Angriffe, deren Ziele oder die Angreifer, die diese Zero-Day-Sicherheitsanfälligkeit ausnutzen, an die Öffentlichkeit weitergegeben.

Bezüglich der Minderung und Umgehungen schlug Microsoft vor, die Installation aller ActiveX-Steuerelemente in Internet Explorer zu deaktivieren, was für alle Websites durch Aktualisierung der Registrierung erreicht werden kann.

„Bereits installierte ActiveX-Steuerelemente werden weiterhin ausgeführt, stellen jedoch diese Sicherheitsanfälligkeit nicht aus“, sagte die Warnung.

„Wenn Sie den Registrierungs-Editor falsch verwenden, können Sie ernsthafte Probleme verursachen, die möglicherweise eine Neuinstallation Ihres Betriebssystems erfordern. Microsoft kann nicht garantieren, dass Sie Probleme lösen können, die aus der falschen Verwendung des Registrierungs-Editors resultieren.“

Um ActiveX-Steuerelemente auf einem einzelnen System zu deaktivieren:

2. Um die Installation von ActiveX-Steuerelementen in Internet Explorer in allen Zonen zu deaktivieren, fügen Sie Folgendes in eine Textdatei ein und speichern Sie sie mit der Dateiendung .reg:

| | Windows Registrierungs-Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003 | |

2. Doppelklicken Sie auf die .reg-Datei, um sie auf Ihren Richtlinienstamm anzuwenden.

3. Starten Sie das System neu, um sicherzustellen, dass die neue Konfiguration angewendet wird.

Diese Umgehung setzt die URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) und URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) für alle Internetzonen für 64-Bit- und 32-Bit-Prozesse auf DEAKTIVIERT (3).

Neue ActiveX-Steuerelemente werden nicht installiert und zuvor installierte ActiveX-Steuerelemente werden weiterhin ausgeführt.