Microsoft bestätigte am 7. September 2021, dass in Windows 10 eine Sicherheitslücke für Remotecodeausführung (RCE) aufgetreten ist. Die als CVE-2021-40444 [1] eingestufte Schwachstelle kann es Cyberkriminellen ermöglichen, die Fernkontrolle über ein kompromittiertes System zu erlangen und Zero-Day-Angriffe in freier Wildbahn durchzuführen.
Der Fehler liegt in MSHTML, einer Browser-Rendering-Engine im Internet Explorer. Die Enginewird auch in Microsoft Office-Dokumenten verwendet. Es ist bekannt, dass CVE-2021-40444 derzeit dazu verwendet wird, Cobalt Strike-Nutzdaten zu übermitteln - ein häufig genutztes Framework zur Emulation von Bedrohungen.
Ein Forscher von EXPMON identifizierte diesen Zero-Day zum ersten Mal in einem Tweet mit den Worten "Office-Nutzer sollten bei Office-Dateien extrem vorsichtig sein." Sie haben den Vorfall am Sonntag, den 5. September, an Microsoft gemeldet. Microsoft veröffentlichte kurz darauf einen Sicherheitshinweis, in dem Workarounds vorgeschlagen werden, während das Unternehmen den Vorfall untersucht. Am 14. September hat Microsoft die Sicherheitslücke behoben [2].
Wie Angreifer CVE-2021-40444 ausnutzen
Cyberkriminelle können ein bösartiges ActiveX-Steuerelement in ein Microsoft Office-Dokument (.docx) einbauen. Dieses Dokument dient als Host für die MSTHML-Rendering-Engine des Browsers und ein OLEObject, das auf eine konstruierte Webseite verweist.
Der Angreifer muss dann sein Ziel täuschen, um dieses Dokument zu öffnen. Nach dem Öffnen verwendet die MSTHML-Engine das ActiveX-Steuerelement, um eine HTML-Datei mit verschleierten Skripten auszuführen, gefolgt vom Download von Malware-Nutzdaten oder Fernzugriffssteuerungen.
Microsoft stellte fest, dass Benutzer mit Administratorrechten anfälliger für solche Angriffe sind als Benutzer ohne oder mit weniger Benutzerrechten.
Abhilfe und Umgehung
Microsoft rät, dass das Deaktivieren aller ActiveX-Steuerungsinstallationen im Internet Explorer dazu beitragen kann, die aktuellen Angriffe abzuschwächen. Dies kann durch die Konfiguration der Gruppenrichtlinie erfolgen, indem die Registrierung aktualisiert oder der Editor für lokale Gruppenrichtlinien verwendet wird.Nach der Deaktivierung werden die neuen ActiveX-Steuerelemente nicht installiert, und die bisherigen ActiveX-Steuerelemente werden weiterhin ausgeführt.
Wie Deep CDR vor Zero-Day-Angriffen schützen kann
Content Disarm and Reconstruction (CDR) kann dazu beitragen, die mit dieser Schwachstelle verbundenen Risiken zu mindern. Deep CDR geht davon aus, dass alle Dateien bösartig sind, bereinigt und rekonstruiert dann die Dateikomponenten, um die volle Nutzbarkeit mit sicheren Inhalten zu gewährleisten. Die Technologie kann alle dateibasierten Bedrohungen, komplexe und Sandbox-fähige Bedrohungen sowie Bedrohungen, die mit Malware-Umgehungstechnologien wie völlig unerkennbarer Malware oder Obfuscation ausgestattet sind, wirksam "entschärfen".
In diesem Fall entfernt die Deep CDR alle potenziellen Bedrohungsobjekte wie OLEObject und ActiveX aus der Dokumentendatei. Nach der Bereinigung enthält das Dokument nicht mehr den bösartigen HTML-Link.
Die von MetaDefender Cloud erkannten Bedrohungen wurden gescannt, und die Ergebnisse unterstützen Sanierungsmaßnahmen:
Nach der Bereinigung zeigen die Ergebnisse, dass das OLEObject entfernt wurde und die Datei sicher geöffnet werden kann:
Über Deep CDR
Die Deep CDR ist mit überlegenen Funktionen wie der mehrstufigen Archivverarbeitung, der Genauigkeit der Dateiregenerierung und der Unterstützung von über 100 Dateitypen marktführend. Unsere Technologie bietet detaillierte Einblicke in die zu bereinigenden Daten und die Art und Weise, wie diese bereinigt werden, so dass Sie fundierte Entscheidungen treffen und Konfigurationen definieren können, die Ihren Anwendungsfällen entsprechen. Das Ergebnis? Sichere Dateien, bei denen 100 % der Bedrohungen innerhalb von Millisekunden beseitigt werden, sodass Ihr Arbeitsablauf nicht unterbrochen wird.
Wenn Sie mehr über Deep CDR erfahren möchten und darüber, wie OPSWAT Ihr Unternehmen schützen kann, sprechen Sie mit einem unserer Experten für Cybersicherheit kritischer Infrastrukturen.
Referenzen
[1] "Microsoft MSHTML - Sicherheitslücke bei der Remotecodeausführung". 2021. Microsoft Security Response Center. https://msrc.microsoft.com/upd...
[2] "Microsoft patcht aktiv ausgenutzte MSHTML Zero-Day RCE (CVE-2021-40444)". 14. September 2021. Help Net Security. https://www.helpnetsecurity.co...
