[English]Kurzer Nachtrag in Sachen Sicherheit. Zum 11. Juli 2023 (Patchday) ist noch eine 0-Day-Schwachstelle (CVE-2023-36884) öffentlich geworden, die eine Remote Code Execution in Microsoft Windows und Office ermöglicht. Die Schwachstelle wurde von Hackern der Gruppe Storm-0978 bereits für Angriffe auf diverse Ziele (z.B. Nato Gipfeltreffen im Juli 2023) ausgenutzt. Ich hatte die Schwachstelle in der Patchday-Übersicht zwar erwähnt, aktuell gibt es aber keinen Patch. Microsoft hat lediglich Anleitungen zur Schadensbegrenzung publiziert.
Anzeige
Office/Windows HTML RCE-Schwachstelle CVE-2023-36884
Bei der Schwachstelle CVE-2023-36884 handelt es sich um eine HTML Remote Code Execution-Lücke, eingeführt über eine Internet Explorer-Komponente, die sich auf Microsoft Office und Windows bezieht. Aktuell schreibt Microsoft, dass man Berichte über eine Reihe von Sicherheitslücken bei der Remotecodeausführung, die Windows- und Office-Produkte betreffen, untersucht.
Microsoft sind gezielte Angriffe bekannt, heißt es, bei denen versucht wird, diese Sicherheitslücke mithilfe speziell gestalteter Microsoft Office-Dokumente auszunutzen. Im Beitrag Microsoft Security Update Summary (11. Juli 2023) hatte ich erwähnt, dass das z.B. das gerade im Juli 2023 stattgefundene Nato Gipfeltreffen im Baltikum angegriffen wurde (die Kollegen von Bleeping Computer hatten dies hier erwähnt). Inzwischen gibt es auch eine CERT-Bund Warnung.
Die RCE-Schwachstelle in Microsoft Windows und Office hat einen CVEv3 Score 8.3 und das important erhalten. Eine Gruppe Storm-0978 aus Russland, auch unter Namen wie DEV-0978 oder RomCom geführt, wird der Angriffe bezichtigt. Die Akteure sind auf Ransomware-Kampagnen (Undergrund Ransomware) und Erpressung spezialisiert. Zu den Zielregionen gehören die Ukraine, Nordamerika und Europa, während zu den Zielbranchen Telekommunikation und Finanzen gehören.
Anzeige
Von Microsoft gibt es diesen Blog-Beitrag, der einige Informationen zu den Zielen der Gruppe offen legt und viele weitere Details erhält. Storm-0978 benutzt eine als RomCom bezeichnete Backdoor für ihre Ransomware- und Erpressungsoperationen (Ransomware Underground) sowie gezielte Kampagnen zum Sammeln von Anmeldeinformationen. Es wird vermutet, dass die letztgenannten Aktivitäten wahrscheinlich zur Unterstützung von Geheimdienstoperationen dienen.
Weiterhin wird auch die Ransomware Industrial Spy verwandt, die erstmals im Mai 2022 in freier Wildbahn beobachtet wurde. Bei der letzten Kampagne des Akteurs, die im Juni 2023 entdeckt wurde, wurde CVE-2023-36884 missbraucht, um eine Backdoor bereitzustellen, die Ähnlichkeiten mit RomCom aufweist.
Für die Angriffe auf Unternehmen werden trojanisierten Versionen beliebter legitimer Software-Pakete verwendet, die per Phishing-Mail verschickt werden. Microsoft schreibt, dass die gezielten Operationen von Storm-0978 Regierungs- und Militäreinrichtungen vor allem in der Ukraine sowie Organisationen in Europa und Nordamerika betrafen, die möglicherweise in ukrainische Angelegenheiten verwickelt sind. Die identifizierten Ransomware-Angriffe richteten sich unter anderem auf die Telekommunikations- und Finanzbranche.
Kein Patch, aber Defender-Erkennung
Wie bereits oben erwähnt, gibt es derzeit keinen Patch, um die Schwachstelle zu beseitigen. Laut Microsoft sind Kunden, die Microsoft Defender für Office 365 verwenden, vor bösartigen Anhängen geschützt, die versuchen, CVE-2023-36884 auszunutzen. Darüber hinaus sind Nutzer von Microsoft 365 Apps (Version 2302 und höher) ebenfalls vor der Ausnutzung der Sicherheitslücke über Office geschützt. Dazu gibt es auch einen Regel, um das Erzeugen von Child-Prozessen zu verhindern (siehe).
Unternehmen, die diese Schutzmaßnahmen nicht in Anspruch nehmen können, können laut dem Microsoft Blog-Beitrag den Registrierungsschlüssel FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION für den Internet Explorer unter:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl
hinzufügen und dort die Namen der blockierten Anwendungen (Excel etc.) als Werte angeben (siehe Screenshot sowie die Anleitung unter CVE-2023-36884), um eine Ausnutzung zu verhindern. Beachtet aber diesen Kommentar bzgl. der genauen Bezeichnung der .exe-Dateien bei PowerPoint (müsste Powerpnt.exe sein).
IE-Registrierungseintrag gegen CVE-2023-36884; Zum Vergrößern klicken
Weitere Empfehlungen zur Schadensbegrenzung finden Sie im verlinkten Blog-Beitrag. Von Blackberry gibt es eine Analyse, die Administratoren den Tipp gibt, auf ausgehenden Datenverkehr im Netzwerk zu schauen, um eine Infektion zu erkennen. Interessant ist dort, dass die Follina-Schwachstelle erwähnt.
Ähnliche Artikel:
Microsoft Security Update Summary (11. Juli 2023)
Patchday: Windows 10-Updates (11. Juli 2023)
Patchday: Windows 11/Server 2022-Updates (11. Juli 2023)
Windows 7/Server 2008 R2; Server 2012 R2: Updates (11. Juli 2023)
Microsoft Office Updates (11. Juli 2023)
Windows: Weiterhin Malware in Kernel-Treibern ladbar (RedDriver-Angriff)
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Anzeige
Hat schon jemand Erfahrungen mit dem RegKey "FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" , was dafür negative Auswirkungen haben kann?
Also, wenn dieser Angriffsvektor auf das jetzige Nato-Treffen angesetzt wurde, dann ist das eine sicher sehr "teure" Sicherheitslücke, den die Russen extra für sowas aufgehoben haben.
Wer es als Reg-Datei importieren will:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION]
"Excel.exe"=dword:00000001
"Graph.exe"=dword:00000001
"MSAccess.exe"=dword:00000001
"MSPub.exe"=dword:00000001
"PowerPoint.exe"=dword:00000001
"Visio.exe"=dword:00000001
"WinProj.exe"=dword:00000001
"WinWord.exe"=dword:00000001
"Wordpad.exe"=dword:00000001
Quelle: Kommentar bei heise zu den Schwachstellen
Ich teste das gerade mit einem immer größer werdenden Nutzerkreis per GPO.
Mich würde insbesondere interessieren, ob schon jemand Beeinträchtigungen gefunden hat, wenn die Keys gesetzt sind. Und wenn ja, welche, sind spezielle (Branchen-)Anwendungen oder Addons (Power Bi für Excel) betroffen?
ergänze:
"PowerPnt.exe"=dword:00000001
Moin,
was genau bewirkt der REG-KEY? Das ist mir bisher noch nicht so ganz klar und wird leider auch nicht im Detail bei CVE Eintrag erklärt.
Danke
Jan
So aus dem hohlen Bauch heraus listet der Schlüssel alle potentiellen .exe-Dateien, die dort als Werte angegeben sind auf, die vom IE nicht als Sub-Prozess aufgerufen werden dürfen. Kurz, er verhindert den Aufruf der betreffenden Anwendungen (aus Office, WorPad etc.), in denen dann die Schwachstelle ausgenutzt werden könnte.
Was ist denn mit Outlook.exe, Onenote.exe,….?
Hier ist die Dokumentation dazu: https://learn.microsoft.com/en-us/previous-versions/windows/internet-explorer/ie-developer/general-info/ee330731(v=vs.85)#file-protocol-navigation
Vielen Dank für diesen Link
Das hört sich ja fast gleich an wie das hier:
Angriff über Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)
Es wird Zeit dass der IE komplett aus Windows entfernt wird.
Bei näherer Betrachtung ist mir aufgefallen, dass Powerpoint mit dem Executable Powerpoint.exe angegeben ist. Meines Erachtens müsste es allerdings POWERPNT.exe lauten – zumindest wird im Taskmanager dieser Prozessname aufgelistet, wenn Powerpoint gestartet wird. Liege ich falsch?
Ist schon adressiert – schau dir die Kommentare an – speziell den Nachtrag vor dem Screenshot, in dem ich einen solchen Kommentar verlinkt habe.
also dann warte ich jetzt erstmal ab! Habe an allen Clients den REG Key ausgerollt und nun soll der Screenshot von Microsoft in Bezug auf Powerpoint falsch sein. Wer weiß was noch kommt…
Selbst das BSI schreibt "PowerPoint.exe"
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-248752-1012.pdf?__blob=publicationFile&v=6
Nicht abwarten, sondern ergänzen:
"PowerPnt.exe"=dword:00000001
Eine PowerPoint.exe hat man normalerweise nicht im System, also wäre der bisher verbreitete Registry-Eintrag nutzlos. Die Anleitungen von Microsoft und vom BSI sind falsch.
Hacker werden sich aber wegen dieses Schreibfehlers umso intensiver auf diese Lücke stürzen, also präparierte Powerpoint-Dateien verschicken.
Seit wann sitzen beim BSI Leute mit Ahnung?
Schau einfach in dein Dateisystem, wie die .exe von Powerpoint heisst … :-)
Microsoft hat das in seiner CVE-Meldung inzwischen auch korrigiert. Einfach beide verteilen – tut ja nicht weh.
ja alles gut, habe nochmal alles auf "PowerPnt.exe" geändert, alles gut :-)
Nochwas, der Blackberry-Artikel ist SEHR aufschlussreich, danke für den Link. Es werden dort ein gutes Dutzend IP-Adressen und ein paar Domains genannt, über welche die Angriffe erfolgen bzw. die Infrastruktur dahinter (ein paar der Server sind bei Hetzner gehostet, andere in UK und USA, da hilft kein Geoblocking dagegen). Wer kann, sollte diese Adressen in seinen Gateways blockieren und mal schauen, ob es dorthin schon Kontakt gab, dann sollten die Alarmglocken aber mal so richtig schrillen!.
Oder einfach nicht so ein Ranzsystem wie Windows nutzen ;-)
Du meinst, dann besser so ein Ranzsystem nutzen wo letzte Woche erst wieder der Kernel geflicket werden musste und nun Ghostscript löchrig ist wie ein Sieb?
Nein, danke, was würde ich damit gewinnen?
fangen wir an mit geringeren Lizenzkosten, deutlich geringere Angriffs-Vektoren, kein komplett kaputter Netzwerkstack, keine Onlinegängelung, Ressourcenschonender, schneller in nahezu allem, Verzeichnisse sind auch mit >255 Zeichen Problemlos nutzbar … "Ranz-Systeme" baut mittlerweile M$ zur genüge, die haben die QS wohl komplett aufgelöst.
Aber auch Nachteile: die GUI ist "gewöhnungsbedürftig", CLI ist manchmal – nennen wir es "ungewöhnlich", bspw. die Parameter zum extrahieren von TAR Files entgehen jedweder Logik :D, VI kann einen Anfänger das letzte Haar rauben, uneinheitlicher Konfigurationskontext, z.T. undurchsichtige Abhängigkeiten
Wer VI nicht kann (muss man auch nicht, irgendwas muss den Laien ja vom Könner unterscheiden), der nimmt halt Nano. Für alle Arten von Archiven gibt es Rechtsklick -> entpacken. Updates gibt es eben nicht nur einmal im Monat.
Viel gewöhnungsbedürftiger für die Mausschubser und Turnschuhadmins dürfte sein, dass der (veränderbare) Standard bei Linux GUIs ist, dass _ein_ Mausklick reicht, um eine Anwendung zu starten. CLI hingegen ist eher ein Vorteil, weil man innerhalb des CLI durchaus die Rechte eskalieren kann, ohne erst einmal umständliche Syntaxen auswendig zu lernen, um dann irgendwann doch entnervt cmd als Administrator auszuführen. Der allergrößte "Nachteil" für die Wintendo-Mannschaft dürfte jedoch sein, dass es eben nicht nur ein GUI oder einen Ansatz oder ein Programm gibt, um zu arbeiten.
Kannst Du Dir aber alles sparen, es gibt hier so zwei, drei Leute, die ihre Religion schon fast fanatisch ausleben.
Naja, auch bei Windows geht sehr vieles nicht per GUI sondern nur per Eingabeaufforderung oder Powershell.
Und was den Doppelklick zum Starten von Anwendungen angeht:
Das kann man in Windows einfach auf Einfachklick umstellen, und zwar schon seit mindestens Windows 95.
Macht nur niemand.
Deine Argumente betreffen aber nur die (Benutzer-)Oberfläche.
VIEL schlimmer ist bei den typischen OpenSource-Frickeleien jedoch, das dort das Rad immer wieder neu erfunden wird.
Beispiel: welche (grösseren) OpenSource-Frickeleien (Samba, Mozilla-Zeux, MySQL, Qt, …) verschmähen die von der (zum C-Compiler gehörenden) C-Laufzeitumgebung bereitgestellten, sowohl von SUS als auch POSIX spezifizierten Funktionen wie*printf() und str*() und baut sie selbst nach?
Warte, unter Windows ist Ghostscript nicht löchrig wie ein Sieb? Habe ich irgendwas an der aktuellen CVE nicht verstanden, oder kann einer von uns beiden einfach besser lesen und verstehen als Du?
Welche Windows-Komponenten (d.h. mit Windows geliefertes Zeux) enthalten denn Ghostscript (oder Python, Qt, …)?
Welches *BSD bzw. welche Linux-Distribution bringt es NICHT mit bzw. installiert es nicht standardmässig?
Von wievielen weiteren solcher (OpenSource- oder Windows-) Komponenten sind typische (OpenSource- oder Windows-) Frickeleien abhängig?
1ST ist wie so offt mal wieder völlig über's Ziel hinausgeschossen in seinen Hasstiraden ;-)
Moin,
"Darüber hinaus sind Nutzer von Microsoft 365 Apps (Version 2302 und höher) ebenfalls vor der Ausnutzung der Sicherheitslücke über Office geschützt."
Sind damit die Microsoft Store APPs gemeint oder Office 365 generell welches ich per Setup.exe installiere?
Danke
Jan
Es geht um die klassischen Desktop-Office-Programme (setup.exe). Und wenn ich Will Dormann und das mit der Versionsnummer richtig verstehe, ist man nur betroffen, wenn man sowas wie den "semi-annual channel" installiert hat und nicht "current".
Wäre noch interessant, wie es mit Office 2021 LTSC aussieht.
Kann man damit auch für andere .exe Dateien Unterprozesse blocken um ggfls. die Ghostscript Lücke temp zu egalisieren?
Cyber Risk Tue, Jul 11, 2023 Proof of Concept Developed for Ghostscript CVE-2023-36664 Code Execution Vulnerability
Gibt es eine Möglichkeit ActiveX rechnerweit zu blockieren, oder kocht da jedes Programm seine eigene Suppe?
Ich hab da mal eine Frage.
Wenn ich die ASR vom Defender einsetze um die Angriffsfläche zu verringern.
Würde das dann nicht vom Defender geblockt werden?
Block Office communication application from creating child processes
26190899-1602-49e8-8b27-eb1d0a1ce869
@ Micha, das übernimmt der Defender für Office und nicht der Defender ATP. Wir haben die ganzen IPs und Domain im Defender ATP zusätzlich hinterlegt (geblockt) und natürlich an der FW und im XDR.
Micha: ja, aber deine GUID ist falsch. Du musst d4f940ab-401b-4efc-aadc-ad5f3c50688a aktivieren. Die von dir genannte ist nur für die "communication application" = Outlook.
Offenbar ist wieder mal eine eingebaute Backdoor aufgeflogen.
Müsste der Schlüssel nicht bei den anderen erstellt werden, unter:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl
anstatt HKEY_LOCAL_MACHINE\SOFTWARE\Policies ?
Ist eine gute Frage. Der von dir genannte Zweig existiert, und dient zur Aufnahme der FEATURE-Komponenten. Aber erstens gibt Microsoft den Zweig so an – und zweitens ist es imho so, dass Einträge unter Policies dann systemweit vor individuellen Einstellungen greifen. Aber vielleicht hat jemand aus der Leserschaft eine bessere Erklärung.
Dann schreib ich sie sicherheitshalber in beide Zweige ¯\_(ツ)_/¯
Dein "Müsste" ist ein "Kann"
Es ist ein LAST WRITER (Reader) WINS Prinzip.
HKLM\SOFTWARE\Microsoft… ist der Preference Pfad.
HKLM\SOFTWARE\Policies… ist der Policies Pfad.
Letzterer wird später vom Process gelesen und gewinnt mit seiner Konfiguration auch gegen eine widersprüchliche im ersten Pfad. In Summe ist es ein Merge.
So funktionieren Gruppenrichtlinien / Policies. Deswegen sind sie sicher vor Benutzerzugriff, wenn es in HKCU stattfindet und deswegen können sie auch automatisiert gelöscht werden. Aber das führt zu weit.
Ersetze "Kann" durch "Sollte": kein Hersteller sollte Einträge unter …\Policies\… verbreiten, denn diese sind den Administratoren ihrer Kunden vorbehalten, die damit die (Grund-)Einstellungen übersteuern können.
Dummerweise kennen (nicht nur) die heute bei M$FT frickelnden Kinder diese vor gut 30 Jahren eingeführten (Design-)Grundlagen von Windows (NT) nicht oder treten sie mit Füssen.
https://skanthak.homepage.t-online.de/quirks.html#quirk0
Danke für die Info und die Stichworte.
Wer einen beliebigen anderen Browser (default) benutzt braucht sich keine Sorgen zu machen?
Oder haben die Dillitanten aus Redmond das festeinprogrammiert?
Hat nichts mit deinem default Browser zu tun.
Es wird innerhalb der Officeanwendungen ein Subprozess vom InternetExplorer geöffnet.
kommt davon wenn microsoft (wie damals microsof "internet explorer" edge klassisch direkt von ms) auch schon zigfach behauptet wurde sie haben "saemtlichen" (ich betone "SAEMTLICHEN" legacy und oldschool code und stack von uralten microsoft zerxlploder entfernt und schon damals durch edge ersetzt…
paar jahre down the road dann edge von chromium "geklaut" (genutzt) und damit wieder pseudo aufgeraeumt und jetzt microsoft modern edge im system.
nur niemand hat WIRKLICH den alten html redering und layer muell fuer den internet explorer abgeschafft den deren teams damals mitgebracht haben
das galt fuer windows chm compiled htm files help engine und ne endlose zahl an internen systemen.
denkt ihr echt microsoft waere altlasten losgworden? pustekuchen. jetzt haben sie weiterhin gammellayer internet explorer classic drin die jetzt die kritikalitaet erreicht hben und neuen layer von googlechromium mit eingebracht.
mehr code mehr bugs mehr bubu mehr spass
think about it.
Wird aber von Vielen ausgeblendet – und wenn ich mal wieder mit den Fingern in solche Ecken zeige, kommt bestimmt "wie könnte das ausgenutzt werden, ich sehe das noch nicht" – womit das Thema für die Betreffenden abgefrühstückt ist.
Ich verstehe den Kommentar nicht. Es ist doch hinlänglich bekannt, dass speziell der Internet Explorer Code nicht komplett entfernt wurde. Eben weil Teile der Engine von verschiedenen Systemkomponenten weiterhin genutzt wird.
Darüber hat Microsoft doch auch nie ein Geheimnis gemacht.
Emm.. das ist aber ein lustiges Verfahren… Microsoft sichert Arbeitsplätze!
Wer sagt, dass andere Exes sich nicht auch für den Exploit empfänglich sind?
Warum kann ich nicht einfach alle exes sperren und nur die freigeben?
Warum kann ich das ausführen von ActiveX nicht auf lokale Quellen begrenzen?
Wieso darf eine externe Quelle überhaupt Prozesse auf meinem Rechner starten, nur weil es hübscher Aussieht?
Ist das Problem evtl. auf eine DLL beziehbar, sodas man einfach mit einem Script mal alle exe Untersuchen kann, welches diese dll referenziert?
Witzig auch, das Cloud Kunden kein Problem zuhaben scheinenm
Ein Schelm der…
@ Paul1 – bei den Cloud-Kunden übernimmt der "Defender für Office" das Blocken solcher Anhänge. Andere Hersteller werden das auch noch irgendwann demnächst blocken.
Und warum muss immer irgendein Schutzprogramm erst darauf getrimmt werden, den Dreck zu verhindern, der durch einen Programmierer und dessen Nachlässigkeit überhaupt erst entsteht?
Tweet (https://twitter.com/wdormann/status/1679184475677130755) von Will Dormann zur Schwachstelle:
Dann gehe ich also mal davon aus, dass OpenOffice/LibreOffice-Benutzer davon nicht betroffen sind?
Zum Glück habe ich vor einiger Zeit das Office bereits gewechselt. ;)
Sitze gerade am GhostScript-Thema – wo Du dann wieder eingefangen wirst ;-)
Kritische RCE-Schwachstelle CVE-2023-36664 in GhostScript bedroht Systeme
Mit anderen Worten: Es gibt keinen Patch und der Workaround von funktioniert nur wenn man, neben der Lizenz für Windows und Office, noch mehr Geld für "Defender für Office" ausgibt. Toll.
Kunden anderer Sicherheitslösungen können ebenfalls solche Regeln anlegen, Beispiel für ESET:
[KB6119] Configure HIPS rules for ESET business products to protect against ransomware (8.x–10.x)
Ja und? Niemand wird gezwungen MS Office zu erwerben. Jeder kann und darf Alternativen verwenden. Ob diese allerdings „sicherer" sind ist fraglich bzw. wäre zu beweisen.
Ich weiß nicht, wie "sicher" in der Winzigweich-Welt definiert wird. Im Rest der Welt ist ein System dann sicher, wenn die Kosten für den erfolgreichen Angriff die Kosten des rechnerischen Ertrags übersteigen. Und natürlich spielt bei der Frage nach möglichen Angriffen die Verbreitung einer Software oder eines Betriebssystems eine entscheidende Rolle. Hier wird dann der Nachteil ("Das nutzt ja kein Schwein") schnell zum Vorteil, weil aufgrund der deutlich geringeren Verbereitung das Interesse der bösen Buben gar nicht vorhanden ist. Das muss aber gar nicht von irgendeinem hier bewiesen werden, dass hat John Forbes Nash schon getan, wenn auch nicht zwingend abgebildet auf Office und deren Alternativen.
Es gibt drei verschiedene Workarounds, von denen du dir einen aussuchen kannst. "Defender für Office" ist nur einer davon. Die anderen beiden sind standardmäßig in Windows enthalten.
Sophos Central/InterceptX erkennt den Angriffsvektor inzwischen und blockiert, gerade vorhin Antwort von denen bekommen. Die AV-Hersteller rüsten jetzt alle nach.
Irgendwer muss ja gerade biegen, was andere verbocken und dann nicht einmal selbst und zügig reparieren.
eigentlich sollte diese Policy auch reichen
https://admx.help/?Category=Office2016&Policy=word16.Office.Microsoft.Policies.Windows::L_RTFFiles&Language=de-de
wenn ich den cert Artikel der Ukraine zum Nato treffen und das von Blackberry so lese.
Ich glaube eher nicht. Ich verstehe das so, dass die RTF-Datei als OLE-Objekt in einer DOCX-Datei eingebettet ist. Und das wird mit der Policy nicht blockiert, habe ich gerade ausprobiert. Man kann eine solche Datei ganz normal öffnen und leider sogar per Doppelklick auf das OLE-Objekt das eingebettete RTF.
Dass dieses Verhalten sinnvoll ist, will ich aber nicht behaupten…
thx fürs testen, schade…
zwischenzeitlich wurde auch der MS-Screenshot auf powerpnt.exe angepasst:
https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/
inzwischen hat auch ESET bestätigt, dass die Threats erkannt und geblockt werden.
– variant of Win32/Exploit.CVE-2017-0199 (document payloads)
– variants of Win64/Agent (RomCom backdoor)
– variants of Python/Impacket (Impacket framework)
– variants of Win32/Exploit.CVE-2017-0199 (XML payloads)
Hi zusammen,
muss (bei Eset) für 32Bit-Office nicht \root\ noch rein in die Pfadangaben? So finde ich zumindest in eminem W10 das 32-Bit-Office…