Microsoft bestätigte am 7. September 2021, dass in Windows 10 eine Sicherheitslücke für Remotecodeausführung (RCE) aufgetreten ist. Die als CVE-2021-40444 [1] eingestufte Schwachstelle kann es Cyberkriminellen ermöglichen, die Fernkontrolle über ein kompromittiertes System zu erlangen und Zero-Day-Angriffe in freier Wildbahn durchzuführen.
Der Fehler liegt in MSHTML, einer Browser-Rendering-Engine im Internet Explorer. Die Enginewird auch in Microsoft Office-Dokumenten verwendet. Es ist bekannt, dass CVE-2021-40444 derzeit dazu verwendet wird, Cobalt Strike-Nutzdaten zu übermitteln - ein häufig genutztes Framework zur Emulation von Bedrohungen.
Ein Forscher von EXPMON identifizierte diesen Zero-Day zum ersten Mal in einem Tweet mit den Worten "Office-Nutzer sollten bei Office-Dateien extrem vorsichtig sein." Sie haben den Vorfall am Sonntag, den 5. September, an Microsoft gemeldet. Microsoft veröffentlichte kurz darauf einen Sicherheitshinweis, in dem Workarounds vorgeschlagen werden, während das Unternehmen den Vorfall untersucht. Am 14. September hat Microsoft die Sicherheitslücke behoben [2].
Wie Angreifer CVE-2021-40444 ausnutzen
Cyberkriminelle können ein bösartiges ActiveX-Steuerelement in ein Microsoft Office-Dokument (.docx) einbauen. Dieses Dokument dient als Host für die MSTHML-Rendering-Engine des Browsers und ein OLEObject, das auf eine konstruierte Webseite verweist.
Der Angreifer muss dann sein Ziel täuschen, um dieses Dokument zu öffnen. Nach dem Öffnen verwendet die MSTHML-Engine das ActiveX-Steuerelement, um eine HTML-Datei mit verschleierten Skripten auszuführen, gefolgt vom Download von Malware-Nutzdaten oder Fernzugriffssteuerungen.
Microsoft stellte fest, dass Benutzer mit Administratorrechten anfälliger für solche Angriffe sind als Benutzer ohne oder mit weniger Benutzerrechten.
Abhilfe und Umgehung
Microsoft rät, dass das Deaktivieren aller ActiveX-Steuerungsinstallationen im Internet Explorer dazu beitragen kann, die aktuellen Angriffe abzuschwächen. Dies kann durch die Konfiguration der Gruppenrichtlinie erfolgen, indem die Registrierung aktualisiert oder der Editor für lokale Gruppenrichtlinien verwendet wird.Nach der Deaktivierung werden die neuen ActiveX-Steuerelemente nicht installiert, und die bisherigen ActiveX-Steuerelemente werden weiterhin ausgeführt.
How Deep CDR™ Technology Can Protect Against Zero-Day Attacks
Content Disarm and Reconstruction (CDR) can aid in mitigating the risks associated with this vulnerability. Deep CDR™ Technology assumes all files are malicious, then sanitizes and rebuilds the file components to ensure full usability with safe content. The technology can effectively ‘disarms’ all file-based threats, complex and sandbox-aware threats, and threats equipped with malware evasion technology such as fully undetectable malware or obfuscation.
In this case, the Deep CDR™ Technology removes all potential threat objects like the OLEObject and ActiveX from the document file. After sanitization, the document no longer contains the malicious HTML link.
Die von MetaDefender Cloud erkannten Bedrohungen wurden gescannt, und die Ergebnisse unterstützen Sanierungsmaßnahmen:
Nach der Bereinigung zeigen die Ergebnisse, dass das OLEObject entfernt wurde und die Datei sicher geöffnet werden kann:
About Deep CDR™ Technology
Deep CDR™ Technology is a market leader with superior features like multi-level archive processing, the accuracy of file regeneration, and support for 100+ file types. Our technology provides in-depth views of what is being sanitized and how data are sanitized, allowing you to make informed choices and define configurations to meet your use cases. The result? Safe files with 100% of threats eliminated within milliseconds, so your workflow is not interrupted.
To learn more about Deep CDR™ Technology and how OPSWAT can protect your organization, talk to one of our critical infrastructure cybersecurity experts.
Referenzen
[1] "Microsoft MSHTML - Sicherheitslücke bei der Remotecodeausführung". 2021. Microsoft Security Response Center. https://msrc.microsoft.com/upd...
[2] "Microsoft patcht aktiv ausgenutzte MSHTML Zero-Day RCE (CVE-2021-40444)". 14. September 2021. Help Net Security. https://www.helpnetsecurity.co...
