{"id":260942,"date":"2021-12-29T00:36:00","date_gmt":"2021-12-28T23:36:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=260942"},"modified":"2021-12-24T12:06:52","modified_gmt":"2021-12-24T11:06:52","slug":"sophos-angreifer-testen-cab-less-40444-mshtl-schwachstelle-angriffe-in-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/12\/29\/sophos-angreifer-testen-cab-less-40444-mshtl-schwachstelle-angriffe-in-windows\/","title":{"rendered":"Sophos: Angreifer testen CAB-less 40444 (MSHTL-Schwachstelle) Angriffe in Windows"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsanbieter Sophos hat kurz vor Weihnachten eine Information zu einem neuen Angriffsszenario in Form einer Reihe von Tweets ver\u00f6ffentlicht. Angreifer testen momentan einen neuen Angriffsvektor \u00fcber RAR-Anh\u00e4nge mit Word-Dokumenten und Scripten in Mails. Dabei werden aber in RAR-Dateien versteckte Nutzlasten mit einem Office-Dokument verteilt, die dann per Script die PowerShell zum Angriff verwenden. Ich stelle das mal kurz hier im Blog dar.<\/p>\n

<\/p>\n

Sophos findet neue Angriffsmethode<\/h2>\n

\"\"Es war ein Tweet<\/a> von Sophos, der mich am 21. Dezember 2021 alarmierte. Deren Sicherheitsforschern ist ein aktualisierter Exploit in die H\u00e4nde gefallen, der zeigt, dass die Cyber-Kriminellen eine neue Angriffsmethode testen. Die Nummer 40444 in folgendem Tweet bezieht sich auf die Schwachstelle CVE-2021-40444 in der Windows MSHTM-Bibiliothek.<\/p>\n

\"CAB-less<\/a><\/p>\n

Die Opfer erhalten einen E-Mail mit einem Anhang Profile.rar<\/em>. Das RAR-Archiv enth\u00e4lt eine Word-Datei document.docx<\/em>. Ein Script in der .rar-Datei bewirkt den Start der Datei – dem Nutzer wird das Word-Dokument angezeigt. Sobald sich die Word-Datei in Office \u00f6ffnet, wird eine Webseite mit einem sch\u00e4dlichen Javascript aufgerufen.<\/p>\n

Dieses Javascript auf der Webseite erzwingt, dass das Word-Dokument den Script-Code des Angreifers, den dieser im RAR-Archiv Profile.rar <\/em>des E-Mail-Anhangs abgelegt hat, einbettet. Das in der RAR-Archivdatei Profile.rar <\/em>eingebettete Script ruft dann die PowerShell in Windows. Dann wird eine auf\u00fchrbare Malware per PowerShell aus dem Web heruntergeladen und ausgef\u00fchrt. Ziel ist es, den Windows-Rechner des Opfers zu infizieren.<\/p>\n

Ich hatte bereits im Blog-Beitrag Windows 0-day im Installer und Schwachstelle in MSHTML werden ausgenutzt<\/a> berichtet, dass eine Schwachstelle im Windows Installer und in MSHTML f\u00fcr Angriffe ausgenutzt werden.<\/p><\/blockquote>\n

Schwachstelle CVE-2021-40444 gepatcht<\/h2>\n

Die Schwachstelle CVE-2021-40444 befindet sich der Windows MSHTML-Bibliothek und wurde von Microsoft zum 14. September 2021 durch Sicherheitsupdates f\u00fcr Windows und\/oder den Internet Explorer gepatcht. Die Schwachstelle CVE-2021-40444<\/a> erm\u00f6glicht eine Remote Code-Ausf\u00fchrung (RCE), u.a. \u00fcber manipulierte Office-Dokumente. MSHTML (Trident<\/a>) ist die HTML-Rendering-Engine des in allen bisherigen Windows-Versionen enthaltenen Internet Explorer. Ich hatte im Blog-Beitrag Patchday-Nachlese Sept. 2021: Update zur MSHTML-Schwachstelle CVE-2021-40444<\/a> dar\u00fcber berichtet.<\/p>\n

\"MSHMTL<\/a><\/p>\n

Unklar ist, ob der Microsoft Sicherheitspatch die Schwachstelle vollst\u00e4ndig beseitigt. Sophos schreibt in obigem Tweet<\/a>, dass die Angreifer inzwischen Versuche unternehmen, diesen Patch zu umgehen und die Schwachstelle trotzdem auszunutzen. Zwischen dem 24. und 25. Oktober 2021 erhielten die Sicherheitsforscher von Sophos eine kleine Anzahl von Spam-E-Mail-Samples, die entsprechende Dateianh\u00e4nge enthielten. Die Anh\u00e4nge stellen eine Eskalation des Missbrauchs des Fehlers -40444 durch die Angreifer dar und zeigen, dass die Cyber-Kriminellen Wege suchen, die Schwachstelle auch auf gepatchten Systemen auszunutzen. Sophos hat die Details zu den Angriffen im Blog-Beitrag Attackers test \"CAB-less 40444\" exploit in a dry run<\/a> ver\u00f6ffentlicht.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nAngriff \u00fcber Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)<\/a>
\nMSHTML-Schwachstelle CVE-2021-40444 kritischer als bekannt<\/a>
\nDesaster Windows MSHTML-Schwachstelle CVE-2021-40444, hoffentlich kommt heute ein Patch<\/a>
\nPatchday-Nachlese Sept. 2021: Update zur MSHTML-Schwachstelle CVE-2021-40444<\/a>
\nWindows 0-day im Installer und Schwachstelle in MSHTML werden ausgenutzt<\/a>
\nWindows 10: 0patch-Fix f\u00fcr MSHTML-Schwachstelle (CVE-2021-40444)<\/a><\/p>\n

Patchday: Windows 10-Updates (14. September 2021)<\/a>
\nPatchday: Windows 8.1\/Server 2012-Updates (14. September 2021)<\/a>
\nPatchday: Updates f\u00fcr Windows 7\/Server 2008 R2 (14. September 2021)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsanbieter Sophos hat kurz vor Weihnachten eine Information zu einem neuen Angriffsszenario in Form einer Reihe von Tweets ver\u00f6ffentlicht. Angreifer testen momentan einen neuen Angriffsvektor \u00fcber RAR-Anh\u00e4nge mit Word-Dokumenten und Scripten in Mails. Dabei werden aber in RAR-Dateien versteckte Nutzlasten … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,301],"tags":[4328],"class_list":["post-260942","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-windows","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260942","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=260942"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/260942\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=260942"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=260942"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=260942"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}