{"id":257483,"date":"2021-09-10T02:14:09","date_gmt":"2021-09-10T00:14:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257483"},"modified":"2021-09-14T16:17:38","modified_gmt":"2021-09-14T14:17:38","slug":"mshtml-schwachstelle-cve-2021-40444-kritischer-als-bekannt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/10\/mshtml-schwachstelle-cve-2021-40444-kritischer-als-bekannt\/","title":{"rendered":"MSHTML-Schwachstelle CVE-2021-40444 kritischer als bekannt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Vor einigen Tagen hat Microsoft einen Sicherheitshinweis zur Schwachstelle CVE-2021-40444 in der in Windows enthaltenen MSHTML-Komponente offen gelegt. Es hie\u00df, es gebe den Versuch, die Schwachstelle in freier Wildbahn \u00fcber pr\u00e4parierte Office-Dokumente auszunutzen. Aber Office-Nutzer seien eigentlich durch die gesch\u00fctzte Ansicht vor dieser Bedrohung gesch\u00fctzt. Nun wird bekannt, dass dieser Schutz l\u00f6chrig ist und oft nicht wirkt.<\/p>\n

<\/p>\n

\"\"In diesem Sicherheitshinweis<\/a> warnt Microsoft vor gezielten Angriffen \u00fcber speziell gestalteter Microsoft Office-Dokumente, die in freier Wildbahn beobachtet wurden (siehe diesen Tweet<\/a>). Bei den Angriffen wird versucht, die RCE-Schwachstelle CVE-2021-40444 in der Windows-Komponente MSHTML auszunutzen. Erfolgreiche Angreifer k\u00f6nnen dann Remote Code ausf\u00fchren. Ich hatte im Blog-Beitrag Angriff \u00fcber Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)<\/a> dar\u00fcber berichtet. Microsoft schreibt in seinem Sicherheitshinweis, dass Office-Dokumente ja standardm\u00e4\u00dfig im gesch\u00fctzten Modus ge\u00f6ffnet w\u00fcrden – der Angriff l\u00e4uft dann ins Leere.\u00a0Inzwischen warnt<\/a> auch das BSI vor dieser Sicherheitsl\u00fccke.<\/p>\n

\"BSI-Warnung<\/a><\/p>\n

Gesch\u00fctzter Modus ausgehebelt<\/h2>\n

Sicherheitsforscher Will Dormann hat sich die Schwachstelle vorgenommen und mal mit RTF-Dateien getestet. Das Ganze hat er in nachfolgendem Tweet<\/a> mit einem Video und Folge-Tweets dokumentiert.<\/p>\n

\"CVE-2021-40444<\/a><\/p>\n

Die Kollegen von Bleeping Computer hatten bei Will Dormann, Schwachstellenanalyst des CERT\/CC, nachgefragt, wie die Funktion \"Gesch\u00fctzte Ansicht\" die Schwachstelle entsch\u00e4rft. Dormann wies darauf hin, dass die Benutzer in der Vergangenheit regelm\u00e4\u00dfig solche Schutzmechanismen umgingen und den Schutz \u00fcber die Schaltfl\u00e4che \"Bearbeitung aktivieren\" deaktivieren.<\/p>\n

Zudem l\u00e4sst sich das MoTW-Flag, welches aus dem Internet heruntergeladene Dateien kennzeichnet und die gesch\u00fctzte Ansicht bewirkt, austricksen.\u00a0 Befindet sich das Dokument in einem Container, der von einem Programm verarbeitet wird, das nicht MoTW-f\u00e4hig ist, wirkt der Schutz nicht mehr. \u00d6ffnet der Benutzer z. B. ein 7-Zip Archiv, welches aus dem Internet stammt, geht diese Information \u00fcber das MotW-Flag verloren. Die gesch\u00fctzte Ansicht wird durch Office beim Laden nicht mehr verwendet. Es gibt weitere F\u00e4lle (wie ISO-Dateien), wo der Schutzmechanismus versagt.<\/p>\n

Zudem entdeckte Dormann, dass die gesch\u00fctzte Ansicht (Protected View) bei RTF-Dateien nicht wirkt, und stuft die Angriffsm\u00f6glichkeiten gef\u00e4hrlicher als Makros ein. Denn es kann Code durch einfaches \u00d6ffnen einer Office-Dokumentdatei ausgef\u00fchrt werden.<\/p>\n

Microsoft hat zwar Ma\u00dfnahmen wie dass Blockieren neuer ActiveX-Steuerelemente zur Installation und Ausf\u00fchrung im Internet Explorer vorgeschlagen. Sicherheitsforscher Kevin Beaumont hat aber bereits eine M\u00f6glichkeit entdeckt<\/a>, die aktuellen Schutzma\u00dfnahme von Microsoft zu umgehen, und diese Sicherheitsl\u00fccke auszunutzen. So st\u00f6rt sich die Vorschau im Explorer nicht an dem MoTW-Flag und die gesch\u00fctzte Ansicht ist wirkungslos.<\/p>\n

Erg\u00e4nzung:<\/strong> Inzwischen hat Microsoft den Text seines Sicherheitshinweises zu\u00a0CVE-2021-40444<\/a> erg\u00e4nzt. Es finden sich Hinweise, um die Dateitypenzuordnungen f\u00fcr Word-Dateien aus der Registrierung auszutragen, so dass Explorer-Vorschau und RTF-Dateityp\u00a0 nicht mehr per Doppelklick ge\u00f6ffnet werden k\u00f6nnen. Beachtet auch die Kommentare unten – so w\u00e4re es denkbar, die Vorschau per GPO im Explorer zu deaktivieren. Die Holzhammer-Methode best\u00e4nde darin die MSHTML.dll-Dateien umzubenennen – nur wei\u00df ich nicht, was dann alles unter Windows klemmt.<\/p>\n

Die Schwachstelle wird seit einigen Tagen aktiv ausgenutzt, wie Beaumont hier mitteilt<\/a>. Details sind in den Tweets<\/a> sowie bei Bleeping Computer<\/a> zu finden.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nAngriff \u00fcber Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)<\/a>
\nMSHTML-Schwachstelle CVE-2021-40444 kritischer als bekannt<\/a>
\nDesaster Windows MSHTML-Schwachstelle CVE-2021-40444, hoffentlich kommt heute ein Patch<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Vor einigen Tagen hat Microsoft einen Sicherheitshinweis zur Schwachstelle CVE-2021-40444 in der in Windows enthaltenen MSHTML-Komponente offen gelegt. Es hie\u00df, es gebe den Versuch, die Schwachstelle in freier Wildbahn \u00fcber pr\u00e4parierte Office-Dokumente auszunutzen. Aber Office-Nutzer seien eigentlich durch die gesch\u00fctzte … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[4322,4328],"class_list":["post-257483","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-office","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257483","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257483"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257483\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257483"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257483"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257483"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}