{"id":257726,"date":"2021-09-16T16:39:58","date_gmt":"2021-09-16T14:39:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257726"},"modified":"2021-09-17T02:43:02","modified_gmt":"2021-09-17T00:43:02","slug":"patchday-nachlese-sept-2021-patch-der-mshtml-schwachstelle-cve-2021-40444","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/16\/patchday-nachlese-sept-2021-patch-der-mshtml-schwachstelle-cve-2021-40444\/","title":{"rendered":"Patchday-Nachlese Sept. 2021: Update zur MSHTML-Schwachstelle CVE-2021-40444"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Seit dem 7. September 2021 ist die Schwachstelle CVE-2021-40444 in der Windows-Bibliothek MSHTML bekannt. Angreifer versuchen Windows-Maschinen \u00fcber diese Schwachstelle mittels manipulierter Office-Dateien anzugreifen. Zum 14. September 2021 hat Microsoft die Schwachstelle in Windows-Sicherheitsupdates adressiert. Zudem liegen mir neue Analysen zur Schwachstelle vor. Als Nachgang zum Patchday eine Zusammenfassung des aktuellen Sachstands.<\/p>\n

<\/p>\n

MSHTML Schwachstelle CVE-2021-40444<\/h2>\n

\"\"Die in Windows enthaltene MSHTML-Bibliothek weist die Schwachstelle CVE-2021-40444<\/a> auf, die eine Remote Code-Ausf\u00fchrung (RCE), u.a. \u00fcber manipulierte Office-Dokumente erm\u00f6glicht. MSHTML (Trident<\/a>) ist die HTML-Rendering-Engine des in allen bisherigen Windows-Versionen enthaltenen Internet Explorer. Manche Nutzer glauben, dass die Systemen nicht angreifbar seien, wenn der Internet Explorer nicht verwendet wird. Aber die mshtml.dll kann auch von anderen Programmen verwendet werden. Bekannt ist, dass Angreifer manipulierte Office-Dokumente verwendete haben, um die Schwachstelle in der HTML-Rendering-Engine \u00fcber von Webseiten des Angreifers heruntergeladene und neu installierte ActiveX-Komponenten anzugreifen.<\/p>\n

Die Hinweise Microsofts zum Stopfen der Schwachstelle<\/a> wie das Blockieren der M\u00f6glichkeit zur ActiveX-Installation, reichten aber nicht aus, die Angriffe abzuwehren. Auch die gesch\u00fctzte Ansicht in Microsoft Office l\u00e4sst sich bei Angriffen umgehen. Microsoft musste bez\u00fcglich der vorgeschlagenen Workarounds mehrfach nachbessern, ohne das Problem an der Wurzel zu beseitigen. Ich hatte im Artikel Desaster Windows MSHTML-Schwachstelle CVE-2021-40444, hoffentlich kommt heute ein Patch<\/a> und in weiteren Beitr\u00e4gen (siehe Artikelende) auf diese Probleme hingewiesen. Einzige Hoffnung f\u00fcr Nutzer war, dass Virenscanner wie der Defender einen Angriff erkennen und abwehren.<\/p>\n

Von LogPoint erreichte mich zwischenzeitlich ein Link auf diesen Kurzbeitrag<\/a>, der beschreibt, wie sich Angriffsversuche auf die Schwachstelle feststellen lassen – ist zwar Werbung f\u00fcr deren L\u00f6sung, aber die Infos sind vielleicht f\u00fcr den einen oder anderen Administrator hilfreich.<\/p><\/blockquote>\n

Neue Analyse zu CVE-2021-40444<\/h2>\n

Microsoft hat aktuell auch eine Analyse<\/a> der Schwachstelle CVE-2021-40444 ver\u00f6ffentlicht. Ich bin kurz vor dem Schreiben dieses Blog-Beitrags auf den nachfolgenden Tweet<\/a> gesto\u00dfen.<\/p>\n

\"Analyzing<\/a><\/p>\n

Die Analyse bezieht sich auf bekannte Angriffe und deren Zeitverlauf. Vielleicht kann jemand da noch neue Informationen raus ziehen.<\/p>\n

Microsoft liefert einen Patch f\u00fcr CVE-2021-40444<\/h2>\n

Zum 14. September 2021 hat Microsoft dann einen Patch f\u00fcr die Schwachstelle CVE-2021-40444<\/a> freigegeben und mit den kumulativen Windows-Updates, die den Internet Explorer enthalten, sowie dem kumulativen Internet Explorer 11-Update KB5005563<\/a> vom 14.9.2021\u00a0 ausgeliefert.<\/p>\n

Das kumulative Internet Explorer 11-Update KB5005563<\/a> muss separat installiert werden, sofern unter Windows 7\/Windows 8.1 ben\u00f6tigt nur Security-only-Updates ausgerollt werden. Alle anderen Updates (Update-Rollups f\u00fcr Windows 7\/Windows 8.1, sowie kumulative Updates f\u00fcr Windows 11) enthalten die Patches f\u00fcr den IE 11 und somit f\u00fcr MSHTML.dll<\/em>.<\/p><\/blockquote>\n

In den Supportbeitr\u00e4gen zu den Updates findet sich aber kein Hinweis auf die gepatchte MSHTML.dll<\/em>. Vielmehr hat Microsoft die betreffende Information im Sicherheitshinweis zur Schwachstelle CVE-2021-40444<\/a> untergebracht. Tenable stuft die Schwachstelle in diesem Artikel<\/a> \u00fcbrigens als kritisch ein.<\/p>\n

CVE-2021-40444<\/p>\n

– Microsoft MSHTML Remote Code Execution Vulnerability
\n– CVE-2021-40444<\/a>
\n– Version 2.0
\n– Reason for Revision: CVE updated to announce that Microsoft is releasing security
\nupdates for all affected versions of Windows to address this vulnerability. These
\nupdates include Monthly Rollups, Security Only, and IE Cumulative updates. Please
\nsee the FAQ for information on which updates are applicable to your system. Other
\ninformation has been updated as well, including the following: 1) Executive Summary
\nhas been updated 2) FAQs have been added.
\n– Originally posted: September 7, 2021
\n– Updated: September 14, 2021<\/p>\n

Beseitigt der Patch CVE-2021-40444?<\/h2>\n

An dieser Stelle stellt sich die Frage, ob Microsoft im ersten Schuss die Schwachstelle CVE-2021-40444 mit dem Sicherheitsupdate geschlossen hat. Denn gem\u00e4\u00df diesem Tweet<\/a> gibt es einen DocX-Generator (siehe<\/a>), der entsprechende Exploits in Office-docx-Dateien einbaut. Zudem sind eine Reihe Dokumentformate f\u00fcr Angriffe verwendbar (siehe<\/a>). Einige Kommentare zu mshtml.dll und \u00c4nderungen durch den Patch finden sich hier<\/a>.<\/p>\n

Sicherheitsforscher Will Dormann weist in diesem Tweet<\/a> darauf hin, dass es viele M\u00f6glichkeiten gibt, die Schwachstelle zu triggern. Laut Dormann sind die Schwachstellen, die ihm bekannt sind, aber durch den Patch beseitigt worden. Der Diskussionsthread findet sich hier auf Twitter<\/a>. Aber ich bin gerade auf diesen Tweet<\/a> gesto\u00dfen, der von einem neuen Bug spricht, den der Entdecker an Microsoft gemeldet hat.<\/p>\n

\"CVE-2021-40444-Patch<\/a><\/p>\n

Aktuell ist mir daher nicht klar, ob das ganze Problem durch die Sicherheitsupdates gefixt ist. Mal abwarten, was die n\u00e4chsten Stunden und Tage bekannt wird. Mein Tipp w\u00e4re, sich ggf. die Hinweise auf die IE.reg von Kanthak aus Desaster Windows MSHTML-Schwachstelle CVE-2021-40444, hoffentlich kommt heute ein Patch<\/a> zum H\u00e4rten gegen die Schwachstellen durchzulesen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nAngriff \u00fcber Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)<\/a>
\nMSHTML-Schwachstelle CVE-2021-40444 kritischer als bekannt<\/a>
\nDesaster Windows MSHTML-Schwachstelle CVE-2021-40444, hoffentlich kommt heute ein Patch<\/a><\/p>\n

Patchday: Windows 10-Updates (14. September 2021)<\/a>
\nPatchday: Windows 8.1\/Server 2012-Updates (14. September 2021)<\/a>
\nPatchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (14. September 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Seit dem 7. September 2021 ist die Schwachstelle CVE-2021-40444 in der Windows-Bibliothek MSHTML bekannt. Angreifer versuchen Windows-Maschinen \u00fcber diese Schwachstelle mittels manipulierter Office-Dateien anzugreifen. Zum 14. September 2021 hat Microsoft die Schwachstelle in Windows-Sicherheitsupdates adressiert. Zudem liegen mir neue Analysen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,185,301],"tags":[4295,4322,8280,4328,4315,3288],"class_list":["post-257726","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-update","category-windows","tag-internet-explorer","tag-office","tag-patchday-9-2021","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257726","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257726"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257726\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257726"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257726"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257726"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}