{"id":259801,"date":"2021-11-25T06:36:15","date_gmt":"2021-11-25T05:36:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259801"},"modified":"2021-12-09T08:50:30","modified_gmt":"2021-12-09T07:50:30","slug":"windows-0-day-im-installer-und-schwachstelle-in-mshtml-werden-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/25\/windows-0-day-im-installer-und-schwachstelle-in-mshtml-werden-ausgenutzt\/","title":{"rendered":"Windows 0-day im Installer und Schwachstelle in MSHTML werden ausgenutzt"},"content":{"rendered":"

\"Windows\"[English<\/a>]Angreifer nutzen eine inzwischen gepatchte Schwachstelle CVE-2021-40444 in Microsofts MSHTML-Routinen f\u00fcr Angriffe auf Windows-Systeme aus. Und die 0-day-Schwachstelle im Windows Installer, die ich die Tage hier im Blog angesprochen habe, wird von Malware zur Privilegien-Eskalation ausgenutzt. Hier ein \u00dcberblick \u00fcber die Bedrohungen der Windows-Anwender \u00fcber diese beiden Schienen.<\/p>\n

<\/p>\n

0-day im Windows Installer ausgenutzt<\/h2>\n

Ich hatte im Blog-Beitrag 0-Day LPE-Schwachstelle im Windows Installer (Nov. 2021)<\/a> darauf hingewiesen, dass ein Sicherheitsforscher eine eine 0-Day-Schwachstelle im Windows Installer gefunden habe. \u00dcber diese Schwachstelle konnte ein lokaler Angreifer Administratorrechte erlangen. Das w\u00e4re normalerweise kein Problem, denn die 'Windows Installer Elevation of Privilege\"-Schwachstelle CVE-2021-41379<\/a> wurde im November 2021 durch die regul\u00e4ren Sicherheitsupdates f\u00fcr Windows gepatcht.<\/p>\n

Microsoft sch\u00e4tzte die Schwachstelle in ihrer Bedrohungslage zudem als niedrig ein (Base CVSS Score 5.5, tempor\u00e4rer Score 4.8), da der Angreifer bereits lokal auf dem System eine Anwendung ausf\u00fchren muss. Zum Problem wird das Ganze aber, weil der Sicherheitsforscher eine Umgehungsl\u00f6sung gefunden hat, der Patch ist wirkungslos. Betroffen sind alle Windows-Versionen, einschlie\u00dflich Windows 10, dass brandneue Windows 11 sowie alle Windows Server-Versionen.<\/p>\n

Sicherheitsforscher von Cisco Talos wiesen bereits am 23. November 2021 im Artikel Attackers exploiting zero-day vulnerability in Windows Installer \u2014 Here's what you need to know and Talos' coverage<\/a> darauf hin, dass die Schwachstelle ausgenutzt wird. Konkret hei\u00dft es, dass Talos bereits Malware-Samples in freier Wildbahn entdeckt hat, die versuchen, diese Sicherheitsl\u00fccke auszunutzen. Cisco Talos hat daher neue SNORT\u24c7-Regeln zum Schutz vor der Ausnutzung dieser 0-Day-Schwachstelle im Microsoft Windows Installer ver\u00f6ffentlicht. Bleibt zu hoffen, dass diese Schwachstelle bald durch Microsoft nachgepatcht wird.<\/p>\n

PowerShortShell greift Anmeldeinformationen \u00fcber MSHTML-Bug ab<\/h2>\n

K\u00fcrzlich wurde von Sicherheitsforschern des SafeBreach Labs ein neuer\u00a0 iranischer Bedrohungsakteur entdeckt, der Google- und Instagram-Anmeldeinformationen von Farsi sprechenden Zielpersonen auf der ganzen Welt stiehlt (siehe Tweet<\/a>). Der Angreifer verwendet einen neuen PowerShell-basierten Stealer, der von den Sicherheitsforschern PowerShortShell genannt wird.<\/p>\n

Dieser Info-Stealer wird auch zur \u00dcberwachung der Plattform Telegram und zum Sammeln von Systeminformationen von kompromittierten Ger\u00e4ten verwendet. Die Informationen werden zusammen mit den gestohlenen Anmeldedaten an Server gesendet, die von den Angreifern kontrolliert werden, wie die Kollegen von Bleeping Computer hier schreiben<\/a>.<\/p>\n

Verbreitet wird dieser seit Juli 2021 \u00fcber Spear-Phishing-E-Mails, die \u00fcber kompromittierte Word-Dokumente auf Windows-Benutzer abzielen, bei denen die RCE-Schwachstelle CVE-2021-40444 in Microsoft MSHTML ungepatcht ist.<\/p>\n

MSHTML (Trident<\/a>) ist die HTML-Rendering-Engine des in allen bisherigen Windows-Versionen enthaltenen Internet Explorer. Bekannt ist, dass Angreifer manipulierte Office-Dokumente verwendete haben, um die Schwachstelle in der HTML-Rendering-Engine \u00fcber von Webseiten des Angreifers heruntergeladene und neu installierte ActiveX-Komponenten anzugreifen. Ich habe hier im Blog einige Beitr\u00e4ge zu dieser Schwachstelle ver\u00f6ffentlicht (siehe Linkliste am Artikelende).<\/p><\/blockquote>\n

Zum 14. September 2021 hat Microsoft dann einen Patch f\u00fcr die Schwachstelle CVE-2021-40444<\/a> freigegeben und mit den kumulativen Windows-Updates, die den Internet Explorer enthalten, sowie dem kumulativen Internet Explorer 11-Update KB5005563<\/a> vom 14.9.2021\u00a0 ausgeliefert. Problem ist, dass die Sicherheitsupdates von Microsoft nicht f\u00fcr \u00e4ltere Windows 10-Versionen greifen. ACROS Security liefert daher 0patch-L\u00f6sungen zum Absichern von Windows gegen die MSHTML-Schwachstelle (CVE-2021-40444). Ich hatte dies im Blog-Beitrag Windows 10: 0patch-Fix f\u00fcr MSHTML-Schwachstelle (CVE-2021-40444)<\/a> angesprochen.<\/p>\n

\"PowerShortShell-Victims\"<\/p>\n

Nun wird der Gro\u00dfteil meiner Blog-Leserschaft nicht zur Farsi-sprechenden Bev\u00f6lkerung mit iranischen Wurzeln geh\u00f6ren. Aber die Kollegen von Bleeping Computer haben, basierend auf dem sehr detaillierten SafeBreach-Bericht New PowerShortShell Stealer Exploits Recent Microsoft MSHTML Vulnerability to Spy on Farsi Speakers<\/a>, die obige Grafik ver\u00f6ffentlicht. Der Gro\u00dfteil der Opfer findet sich in den USA – aber immerhin 8,3% wurden in Deutschland aufgesp\u00fcrt. Und die Niederlande sind mit 12,5% auch gut dabei.<\/p>\n

CVE-2021-40444 im Fokus von weiteren Angreifern<\/h2>\n

Die Geschichte hat noch einen anderen Aspekt: Die RCE-Schwachstelle CVE-2021-40444 in der MSTHML-Rendering-Engine des IE wurde seit dem 18. August 2021 in freier Wildbahn als Zero-Day ausgenutzt. Die Angreifer machten sich die Schwachstelle also mehr als zwei Wochen bevor Microsoft einen Sicherheitshinweis mit einem teilweisen Workaround ver\u00f6ffentlichte und drei Wochen bevor ein Patch ver\u00f6ffentlicht wurde, zunutze.<\/p>\n

Microsoft gibt an, dass mehrere Bedrohungsakteure (auch Ransomware-Ableger) diese Schwachstelle mittels speziell gestalteten Office-Dokumenten, die \u00fcber Phishing-Angriffe verbreitet wurden, gezielt ausgenutzt haben. Es ging um eine Kampagne, die die Schwachstelle ausnutzte, indem benutzerdefinierte Cobalt Strike Beacon-Loader verteilt wurden. Die Kollegen von Bleeping Computer geben an, dass die Schwachstelle zuletzt von der Magniber-Ransomware-Gruppe ausgenutzt wurde. Die Gefahr, dass eine ungepatchte MSHTML-Bibliothek zum Einfalltor f\u00fcr Schadsoftware mutiert, ist also real.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nAngriff \u00fcber Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)<\/a>
\nMSHTML-Schwachstelle CVE-2021-40444 kritischer als bekannt<\/a>
\nDesaster Windows MSHTML-Schwachstelle CVE-2021-40444, hoffentlich kommt heute ein Patch<\/a>
\nPatchday-Nachlese Sept. 2021: Update zur MSHTML-Schwachstelle CVE-2021-40444<\/a>
\nWindows 10: 0patch-Fix f\u00fcr MSHTML-Schwachstelle (CVE-2021-40444)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Angreifer nutzen eine inzwischen gepatchte Schwachstelle CVE-2021-40444 in Microsofts MSHTML-Routinen f\u00fcr Angriffe auf Windows-Systeme aus. Und die 0-day-Schwachstelle im Windows Installer, die ich die Tage hier im Blog angesprochen habe, wird von Malware zur Privilegien-Eskalation ausgenutzt. Hier ein \u00dcberblick \u00fcber … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[],"class_list":["post-259801","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259801","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=259801"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/259801\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=259801"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=259801"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=259801"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}