{"id":257429,"date":"2021-09-08T11:29:14","date_gmt":"2021-09-08T09:29:14","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257429"},"modified":"2021-09-14T16:19:29","modified_gmt":"2021-09-14T14:19:29","slug":"angriff-ber-office-dokumente-auf-microsoft-mshtml-activex-rce-schwachstelle-cve-2021-40444","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/08\/angriff-ber-office-dokumente-auf-microsoft-mshtml-activex-rce-schwachstelle-cve-2021-40444\/","title":{"rendered":"Angriff über Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Microsoft hat zum 7. September 2021 eine Warnung vor der Remote Code Execution-Schwachstelle CVE-2021-40444 ver\u00f6ffentlicht. In Kampagnen wird diese Schwachstelle, die auf die MSHTML-Komponente des Internet Explorer abzielt, \u00fcber kompromittierte Office-Dokumente ausgenutzt. Microsoft gibt Hinweise zur Entsch\u00e4rfung dieser Schwachstelle, die auf die mit dem Internet Explorer eingef\u00fchrte ActiveX-Technologie zur\u00fcckgeht.<\/p>\n

<\/p>\n

\"\"Das Thema ist mir die Nacht gleich \u00fcber mehrere Quelle unter die Augen gekommen. Einmal hat Microsoft einen Sicherheitshinweis per Mail rund geschickt.<\/p>\n

******************************************************************
\nTitle: Microsoft Security Update Revisions
\nIssued: September 7, 2021
\n******************************************************************<\/p>\n

Summary
\n=======<\/p>\n

The following CVE has been published to the Security Update Guide.<\/p>\n

==================================================================<\/p>\n

CVE-2021-40444<\/a> | Microsoft MSHTML Remote Code Execution Vulnerability
\n– Version: 1.0
\n– Reason for Revision: Information published.
\n– Originally posted: September 7, 2021
\n– Updated: N\/A
\n– Aggregate CVE Severity Rating: Important<\/p>\n

Zudem bin ich \u00fcber diverse Tweets<\/a> des Sicherheitsforschers Kevin Beaumont auf diese Thematik hingewiesen worden. Dieser stuft das Ganze als 0-day-Schwachstelle ein (es gibt keinen Patch), auch wenn Microsoft diesen Begriff nicht verwendet.<\/p>\n

\"RCE<\/a><\/p>\n

In diesem Sicherheitshinweis<\/a> warnt Microsoft vor gezielten Angriffen \u00fcber speziell gestalteter Microsoft Office-Dokumente, die in freier Wildbahn beobachtet wurden (siehe diesen Tweet<\/a>). Bei den Angriffen wird versucht, die RCE-Schwachstelle CVE-2021-40444 in der Windows-Komponente MSHTML auszunutzen.<\/p>\n

Pr\u00e4pariertes Office-Dokument aktiviert ActiveX<\/h2>\n

Ein Angreifer k\u00f6nnte ein b\u00f6sartiges ActiveX-Steuerelement so gestalten, dass es von einem Microsoft Office-Dokument verwendet wird, um auf die Browser-Rendering-Engine HSHTML zuzugreifen. \u00d6ffnen Benutzer das infizierte Office-Dokument, wird das ActiveX-Steuerelement von der Webseite des Angreifers heruntergeladen und installiert. Anschlie\u00dfend l\u00e4sst sich \u00fcber MSHTML und die Schwachstelle CVE-2021-40444\u00a0 Code remote ausf\u00fchren. Arbeiten die Nutzer unter Standardkonten mit reduzierten Benutzerrechte, sind die Auswirkungen geringer als bei administrativen Benutzerkonten.<\/p>\n

Sicherheitsl\u00f6sungen erkennen Angriffe<\/h2>\n

Microsoft schreibt dazu, dass sowohl der Defender Antivirus als auch Microsoft Defender for Endpoint eine Erkennung und einen Schutz gegen\u00fcber der Ausnutzung dieser bekannten Sicherheitsl\u00fccke bieten. Kunden sollten ihre Antimalware-Produkte auf dem neuesten Stand halten (sollte automatisch per Update aktualisiert werden, ben\u00f6tigt wird wohl das Definitionsupdate Version 1.349.222.0 – in der Microsoft-Angabe d\u00fcrfte sich ein Tippfehler eingeschlichen haben). Microsoft Defender for Endpoint zeigt dann bei Angriffen Warnungen der \"Verd\u00e4chtige Cpl-Datei-Ausf\u00fchrung\" an.<\/p>\n

Das in obigen Tweets verwendete K\u00fcrzel EDR<\/a> steht f\u00fcr Endpoint Detection and Response, welches im Microsoft Defender for Endpoint und Microsoft 365 Defender unterst\u00fctzt wird.<\/p><\/blockquote>\n

Kevin Beaumont weist darauf hin, dass der EDR-Blockierungsmodus<\/a> standardm\u00e4\u00dfig nicht aktiviert ist, Administratoren m\u00fcssen also aktiv werden.<\/p>\n

Workaround: ActiveX sperren<\/h2>\n

Von Microsoft gibt es zwei Hinweise zu diesem Angriffsszenario. Einmal schreibt der Hersteller, dass Microsoft Office Dokumente aus dem Internet standardm\u00e4\u00dfig in der gesch\u00fctzten Ansicht<\/a> oder im Application Guard f\u00fcr Office \u00f6ffnet. Beide Varianten verhindern den aktuellen Angriff, da dort keine aktiven Inhalte ausgef\u00fchrt werden.<\/p>\n

Weiterhin k\u00f6nnen Administratoren die Installation aller ActiveX-Steuerelemente im Internet Explorer deaktivieren, so dass der Angriff nicht mehr funktioniert. Vorhandene ActiveX-Steuerelemente k\u00f6nnen dagegen weiterhin verwendet werden. Um die Installation von ActiveX-Steuerelementen in allen Zonen des Internet Explorer zu deaktivieren, ist laut Microsoft eine .reg-Datei mit folgendem Inhalt zu importieren.<\/p>\n

Windows Registry Editor Version 5.00\r\n\r\n[HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0]\r\n\"1001\"=dword:00000003\r\n\"1004\"=dword:00000003\r\n\r\n[HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\1]\r\n\"1001\"=dword:00000003\r\n\"1004\"=dword:00000003\r\n\r\n[HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\2]\r\n\"1001\"=dword:00000003\r\n\"1004\"=dword:00000003\r\n\r\n[HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\3]\r\n\"1001\"=dword:00000003\r\n\"1004\"=dword:00000003\r\n<\/pre>\n
Die Anweisungen lassen sich in einem Editor in einer .reg-Datei speichern und im Anschluss unter einem Benutzerkonto mit Administrator-Berechtigungen per Doppelklick importieren. Im Anschluss ist ein Neustart des Systems auszuf\u00fchren. Der Import der .reg-Datei setzt die Flags<\/p>\n
URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001)
\nURLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004)<\/p>\n
f\u00fcr alle Internetzonen der 64-Bit- und 32-Bit-Prozesse auf DISABLED. Neue ActiveX-Steuerelemente werden dann nicht mehr installiert. Zuvor installierte ActiveX-Steuerelemente lassen sich weiterhin ausf\u00fchren.<\/p>\n
Administratoren in Unternehmensumgebungen sollten auf Gruppenrichtlinien zur\u00fcckgreifen, um die Installation von unsignierten ActiveX-Steuerelementen zu unterbinden. Ein Nutzer hat die relevanten GPOs in diesem Kommentar<\/a> auf heise aufgelistet.<\/p><\/blockquote>\n
Microsoft untersucht das Ganze momentan und will weitere Hinweise und ggf. einen Patch nachliefern. Um das Ganze zu einem sp\u00e4teren Zeitpunkt wieder r\u00fcckg\u00e4ngig zu machen, sind die obigen Registrierungsschl\u00fcssel, die durch die .reg-Datei im Rahmen des Workarounds in Windows hinzugef\u00fcgt wurden, einfach zu l\u00f6schen und die Maschine neu zu booten.<\/p>\n
\u00c4hnliche Artikel:<\/strong>
\nAngriff \u00fcber Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)<\/a>
\nMSHTML-Schwachstelle CVE-2021-40444 kritischer als bekannt<\/a>
\nDesaster Windows MSHTML-Schwachstelle CVE-2021-40444, hoffentlich kommt heute ein Patch<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Microsoft hat zum 7. September 2021 eine Warnung vor der Remote Code Execution-Schwachstelle CVE-2021-40444 ver\u00f6ffentlicht. In Kampagnen wird diese Schwachstelle, die auf die MSHTML-Komponente des Internet Explorer abzielt, \u00fcber kompromittierte Office-Dokumente ausgenutzt. Microsoft gibt Hinweise zur Entsch\u00e4rfung dieser Schwachstelle, die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4295,4328],"class_list":["post-257429","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-internet-explorer","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257429","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257429"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257429\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257429"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257429"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257429"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}