{"id":257635,"date":"2021-09-14T16:11:16","date_gmt":"2021-09-14T14:11:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257635"},"modified":"2021-09-14T16:40:11","modified_gmt":"2021-09-14T14:40:11","slug":"desaster-windows-mshtml-schwachstelle-cve-2021-40444-hoffentlich-kommt-heute-ein-patch","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/14\/desaster-windows-mshtml-schwachstelle-cve-2021-40444-hoffentlich-kommt-heute-ein-patch\/","title":{"rendered":"Desaster Windows MSHTML-Schwachstelle CVE-2021-40444, hoffentlich kommt heute ein Patch"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Liefert Microsoft am heutige 14. September 2021 ein Sicherheitsupdate zum Schlie\u00dfen der Schwachstelle CVE-2021-40444 in der Windows MSHTML-Bibliothek aus? Und vor allem: Falls ein Patch kommt, schlie\u00dft der die Sicherheitsl\u00fccke, oder ist das Ganze mal wieder \"wei\u00dfe Salbe\"? Nachdem Exploits in Untergrundforen kursieren, m\u00f6chte ich in einem Blog-Beitrag nochmals den aktuellen Sachstand zusammenfassen.<\/p>\n

<\/p>\n

MSHTML Schwachstelle CVE-2021-40444<\/h2>\n

\"\"MSHTML (Trident<\/a>) ist die HTML-Rendering-Engine des in allen bisherigen Windows-Versionen enthaltenen Internet Explorer. Diese in Windows enthaltene MSHTML-Bibliothek weist aber eine Schwachstelle CVE-2021-40444 auf, die eine Remote Code-Ausf\u00fchrung (RCE), u.a. \u00fcber manipulierte Office-Dokumente erm\u00f6glicht. Bekannt war, dass Angreifer manipulierte Office-Dokumente verwendete haben, um die Schwachstelle in der HTML-Rendering-Engine \u00fcber von Webseiten des Angreifers heruntergeladene und neu installierte ActiveX-Komponenten anzugreifen.<\/p>\n

Microsoft hatte zwar\u00a0 zum 7. September 2021 eine Warnung zur der Remote Code Execution-Schwachstelle CVE-2021-40444<\/a> ver\u00f6ffentlicht. Im betreffenden Dokument wurden Hinweise gegeben, wie die Installation neuer ActiveX-Elemente per Internet Explorer verhindert werden k\u00f6nne. Zudem argumentierte Microsoft, dass in Office die Funktion \u201eGesch\u00fctzte Ansicht\" die Schwachstelle entsch\u00e4rfe. Ich hatte im Blog-Beitrag Angriff \u00fcber Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)<\/a> auf den Sachverhalt hingewiesen.<\/p>\n

Allerdings erwiesen sich die Microsoft-Ausf\u00fchrungen als ziemlicher Trugschluss. Bald kristallisiert sich heraus, dass die Schwachstelle wesentlich kritischer als gedacht war. Es braucht keine ActiveX-Komponenten, um die Schwachstelle auszunutzen. Ich hatte im Blog-Beitrag MSHTML-Schwachstelle CVE-2021-40444 kritischer als bekannt<\/a> darauf hingewiesen, dass Sicherheitsforscher Will Dormann sich die Schwachstelle vorgenommen und mal mit RTF-Dateien getestet hat. Die Microsoft Schutzmechanismen, die aus dem Internet heruntergeladene Office-Dokument in der gesch\u00fctzten Ansicht \u00f6ffnen sollen, lassen sich einfach umgehen.<\/p>\n

Inzwischen ist es Sicherheitsforschern auch gelungen, .CPL-Dateien aufzurufen und so die Schwachstelle auszunutzen. Seit einer Woche eskaliert das Ganze, weil inzwischen Bauk\u00e4sten zum Erstellen manipulierter Word-Dateien im Internet abrufbar sind. Zudem werden Exploits zum Ausnutzen der MSHTML Schwachstelle CVE-2021-40444 im Hackerforen herumgereicht. Die Kollegen von Bleeping Computer haben in diesem Artikel<\/a> gerade vor dieser Entwicklung gewarnt.<\/p>\n

\"Exploit<\/a><\/p>\n

Die Tage bin ich \u00fcber obigen Tweet<\/a> gestolpert. Dort hat jemand die verf\u00fcgbaren Exploit-Pakete f\u00fcr eigene Experimente verwendet und gezeigt<\/a>, wie er \u00fcber eine CAB-Datei die Sicherheitsl\u00fccke ausnutzen konnte. Auch in diesem Tweet<\/a> demonstriert jemand, wie er die Schwachstelle mit ein wenig JavaScript-Code ausnutzen kann. Ich gehe daher davon aus, dass bald mit einer gr\u00f6\u00dferen Angriffswelle zu rechnen ist.<\/p>\n

Microsoft ist zu kurz gesprungen<\/h2>\n

Es l\u00e4sst sich im R\u00fcckblick erkennen, dass Microsoft deutlich zu kurz bez\u00fcglich seiner Vorschl\u00e4ge zur Entsch\u00e4rfung der Schwachstelle gesprungen ist. Wenn die gesch\u00fctzte Ansicht sich aushebeln l\u00e4sst, und die von Microsoft vorgeschlagen Deaktivierung der M\u00f6glichkeit, zur Installation neuer ActiveX-Dokumente nicht ausreicht, bleibt der Anwender im Regen stehen. Die von Microsoft nachgeschobene Anweisung, die Verkn\u00fcpfung der Vorschau bestimmter Dokumentdateien durch L\u00f6schen von Registrierungseintr\u00e4gen zu deaktivieren, klingt schlicht hilflos. Die haben es nicht im Griff, so mein Eindruck.<\/p>\n

<\/a><\/p>\n

Die Twitter-Warnung von CERT-Bund<\/a> ist da auch wenig zielf\u00fchrend. Zumindest deutet CERT-Bund an, dass man heute einen Patch erwartet. Lese ich mir aber die bisherigen, aber weitgehend untauglichen Vorschl\u00e4ge Microsofts zur Abschw\u00e4chung der Sicherheitsl\u00fccke durch, bin ich nicht sicher, ob das Ganze per Sicherheitsupdate geschlossen werden kann (die unendliche Geschichte zu PrintNightmare d\u00fcmpelt im Hinterkopf).<\/p>\n

Was aktuell teils sch\u00fctzt, sind Antivirus-L\u00f6sungen, die ggf. einen Angriff an Hand der verwendeten Dateien erkennen und blockieren. Aber es d\u00fcrften bald F\u00e4lle auftreten, wo unbekannte Exploits die Virenscanner austricksen. Es kommt auf die Nutzer an, die darauf verzichten, Office-Dateien, die auch dem Internet stammen, zu \u00f6ffnen. Irgendwie unbefriedigend.<\/p>\n

Problem seit Jahren bekannt<\/h2>\n

Bereits im Blog-Beitrag Angriff \u00fcber Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)<\/a> wies Stefan Kanthak in diesem Kommentar<\/a> darauf hin, dass die zur Abschw\u00e4chung der Sicherheitsl\u00fccke Microsofts, die Installation von ActiveX-Elementen per Registrierungseintrag zu blockieren, eher nicht wirklich zielf\u00fchrend seien. Er verwies auf die in KB4058123<\/a> beschriebene M\u00f6glichkeit, das Office COM-Kill-Bit in der Registrierung zu setzen. Das Office COM-Kill-Bit wurde mit dem Sicherheitsupdate MS10-036 eingef\u00fchrt, um zu verhindern, dass bestimmte COM-Objekte ausgef\u00fchrt werden, wenn diese in Office-Dokumente eingebettet oder mit ihnen verkn\u00fcpft sind.<\/p>\n

Die Funktionalit\u00e4t des COM-Kill-Bits wurde in KB3178703 aktualisiert, um die Aktivierung von COM-Objekten durch Office vollst\u00e4ndig zu verhindern. Dieses Update ist eine Erweiterung des urspr\u00fcnglichen Verhaltens, wobei zus\u00e4tzlich zum Blockieren von COM-Objekten, die in Office-Dokumente eingebettet oder verkn\u00fcpft sind, alle Instanzen von COM-Objekten blockiert werden, die innerhalb des Office-Prozesses \u00fcber andere Mittel wie Add-Ins geladen werden. Zu diesen spezifischen COM-Objekten geh\u00f6ren ActiveX-Steuerelemente und OLE-Objekte. \u00dcber die Registrierung k\u00f6nnen Sie unabh\u00e4ngig steuern, welche COM-Objekte blockiert werden.<\/p>\n

Mit diesem Ansatz k\u00f6nnten Nutzer ihre Systeme absichern. Microsoft hat 2008 sogar eine Kill-Bit-FAQ<\/a> zu diesem Thema ver\u00f6ffentlich, die Stefan Kanthak in seinem Kommentar verlinkt hatte. Bei Microsoft finde ich in der Warnung zur der Remote Code Execution-Schwachstelle CVE-2021-40444<\/a> diesbez\u00fcglich aber nichts. M\u00f6glicherweise nimmt Microsoft da auf Firmen R\u00fccksicht, die genau diese COM-Objekte und ActiveX-Elemente in ihren Intranet-Umgebungen noch einsetzen.<\/p>\n

Wer seine Systeme in dieser Hinsicht etwas besser h\u00e4rten m\u00f6chte, sollte sich die von Stefan Kanthak ab 2004 ver\u00f6ffentlichte und immer wieder aktualisierte Registrierungsdatei IE_safer.reg<\/a> ansehen. Ansonsten gilt es abzuwarten, was uns in den kommenden Stunden aus dem Microsoft-Universum diesbez\u00fcglich pr\u00e4sentiert wird. Langfristig sollten sich IT-Verantwortliche eher Gedanken machen, ob man weiterhin auf diesen sicherheitstechnisch ziemlich kaputten Flickenteppich setzen will.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nAngriff \u00fcber Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)<\/a>
\nMSHTML-Schwachstelle CVE-2021-40444 kritischer als bekannt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Liefert Microsoft am heutige 14. September 2021 ein Sicherheitsupdate zum Schlie\u00dfen der Schwachstelle CVE-2021-40444 in der Windows MSHTML-Bibliothek aus? Und vor allem: Falls ein Patch kommt, schlie\u00dft der die Sicherheitsl\u00fccke, oder ist das Ganze mal wieder \"wei\u00dfe Salbe\"? Nachdem Exploits … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,3288],"class_list":["post-257635","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257635","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257635"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257635\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257635"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257635"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257635"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}