Microsoft bestätigte am 7. September 2021, dass in Windows 10 eine Sicherheitslücke für Remotecodeausführung (RCE) aufgetreten ist. Die als CVE-2021-40444 [1] eingestufte Schwachstelle kann es Cyberkriminellen ermöglichen, die Fernkontrolle über ein kompromittiertes System zu erlangen und Zero-Day-Angriffe in freier Wildbahn durchzuführen.
Der Fehler liegt in MSHTML, einer Browser-Rendering-Engine im Internet Explorer. Die Enginewird auch in Microsoft Office-Dokumenten verwendet. Es ist bekannt, dass CVE-2021-40444 derzeit dazu verwendet wird, Cobalt Strike-Nutzdaten zu übermitteln - ein häufig genutztes Framework zur Emulation von Bedrohungen.
Ein Forscher von EXPMON identifizierte diesen Zero-Day zum ersten Mal in einem Tweet mit den Worten "Office-Nutzer sollten bei Office-Dateien extrem vorsichtig sein." Sie haben den Vorfall am Sonntag, den 5. September, an Microsoft gemeldet. Microsoft veröffentlichte kurz darauf einen Sicherheitshinweis, in dem Workarounds vorgeschlagen werden, während das Unternehmen den Vorfall untersucht. Am 14. September hat Microsoft die Sicherheitslücke behoben [2].
Wie Angreifer CVE-2021-40444 ausnutzen
Cyberkriminelle können ein bösartiges ActiveX-Steuerelement in ein Microsoft Office-Dokument (.docx) einbauen. Dieses Dokument dient als Host für die MSTHML-Rendering-Engine des Browsers und ein OLEObject, das auf eine konstruierte Webseite verweist.
Der Angreifer muss dann sein Ziel täuschen, um dieses Dokument zu öffnen. Nach dem Öffnen verwendet die MSTHML-Engine das ActiveX-Steuerelement, um eine HTML-Datei mit verschleierten Skripten auszuführen, gefolgt vom Download von Malware-Nutzdaten oder Fernzugriffssteuerungen.
Microsoft stellte fest, dass Benutzer mit Administratorrechten anfälliger für solche Angriffe sind als Benutzer ohne oder mit weniger Benutzerrechten.
Abhilfe und Umgehung
Microsoft rät, dass das Deaktivieren aller ActiveX-Steuerungsinstallationen im Internet Explorer dazu beitragen kann, die aktuellen Angriffe abzuschwächen. Dies kann durch die Konfiguration der Gruppenrichtlinie erfolgen, indem die Registrierung aktualisiert oder der Editor für lokale Gruppenrichtlinien verwendet wird.Nach der Deaktivierung werden die neuen ActiveX-Steuerelemente nicht installiert, und die bisherigen ActiveX-Steuerelemente werden weiterhin ausgeführt.
Wie die Deep CDR™-Technologie vor Zero-Day-Angriffen schützen kann
Content Disarm and Reconstruction (CDR) kann dazu beitragen, die mit dieser Sicherheitslücke verbundenen Risiken zu mindern. Die Deep CDR™-Technologie geht davon aus, dass alle Dateien bösartig sind, bereinigt die Dateikomponenten und baut sie neu auf, um die volle Nutzbarkeit mit sicheren Inhalten zu gewährleisten. Die Technologie kann alle dateibasierten Bedrohungen, komplexe und Sandbox-bewusste Bedrohungen sowie Bedrohungen, die mit Malware-Umgehungstechniken wie vollständig nicht nachweisbarer Malware oder Verschleierung ausgestattet sind, wirksam „entschärfen“.
In diesem Fall entfernt die Deep CDR™-Technologie alle potenziell gefährlichen Objekte wie OLEObjects und ActiveX-Elemente aus der Dokumentdatei. Nach der Bereinigung enthält das Dokument den schädlichen HTML-Link nicht mehr.
Die von MetaDefender Cloud erkannten Bedrohungen wurden gescannt, und die Ergebnisse unterstützen Sanierungsmaßnahmen:
Nach der Bereinigung zeigen die Ergebnisse, dass das OLEObject entfernt wurde und die Datei sicher geöffnet werden kann:
Über die Deep CDR™-Technologie
Die Deep CDR™-Technologie ist marktführend und zeichnet sich durch herausragende Funktionen wie mehrstufige Archivverarbeitung, präzise Dateiregeneration und die Unterstützung von über 100 Dateiformaten aus. Unsere Technologie bietet einen detaillierten Einblick in die zu bereinigenden Daten und den Bereinigungsvorgang selbst, sodass Sie fundierte Entscheidungen treffen und Konfigurationen festlegen können, die genau auf Ihre Anwendungsfälle zugeschnitten sind. Das Ergebnis? Sichere Dateien, bei denen 100 % aller Bedrohungen innerhalb von Millisekunden beseitigt werden, sodass Ihr Arbeitsablauf nicht unterbrochen wird.
Wenn Sie mehr über die Deep CDR™-Technologie erfahren möchten und darüber, wie OPSWAT Ihr Unternehmen schützen OPSWAT , wenden Sie sich bitte an einen unserer Experten für Cybersicherheit in kritischen Infrastrukturen.
Referenzen
[1] "Microsoft MSHTML - Sicherheitslücke bei der Remotecodeausführung". 2021. Microsoft Security Response Center. https://msrc.microsoft.com/upd...
[2] "Microsoft patcht aktiv ausgenutzte MSHTML Zero-Day RCE (CVE-2021-40444)". 14. September 2021. Help Net Security. https://www.helpnetsecurity.co...
