{"id":283707,"date":"2023-07-13T08:45:32","date_gmt":"2023-07-13T06:45:32","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283707"},"modified":"2023-08-10T07:53:44","modified_gmt":"2023-08-10T05:53:44","slug":"office-und-windows-html-rce-schwachstelle-cve-2023-36884-erlaubt-systembernahme","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/13\/office-und-windows-html-rce-schwachstelle-cve-2023-36884-erlaubt-systembernahme\/","title":{"rendered":"Office und Windows HTML RCE-Schwachstelle CVE-2023-36884 erlaubt Systemübernahme"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Kurzer Nachtrag in Sachen Sicherheit. Zum 11. Juli 2023 (Patchday) ist noch eine 0-Day-Schwachstelle (CVE-2023-36884) \u00f6ffentlich geworden, die eine Remote Code Execution in Microsoft Windows und Office erm\u00f6glicht. Die Schwachstelle wurde von Hackern der Gruppe Storm-0978 bereits f\u00fcr Angriffe auf diverse Ziele (z.B. Nato Gipfeltreffen im Juli 2023) ausgenutzt. Ich hatte die Schwachstelle in der Patchday-\u00dcbersicht zwar erw\u00e4hnt, aktuell gibt es aber keinen Patch. Microsoft hat lediglich Anleitungen zur Schadensbegrenzung publiziert.<\/p>\n

<\/p>\n

Office\/Windows HTML RCE-Schwachstelle CVE-2023-36884<\/h2>\n

\"\"Bei der Schwachstelle CVE-2023-36884<\/a> <\/u>handelt es sich um eine HTML Remote Code Execution-L\u00fccke, eingef\u00fchrt \u00fcber eine Internet Explorer-Komponente, die sich auf Microsoft Office und Windows bezieht. Aktuell schreibt Microsoft, dass man Berichte \u00fcber eine Reihe von Sicherheitsl\u00fccken bei der Remotecodeausf\u00fchrung, die Windows- und Office-Produkte betreffen, untersucht.<\/p>\n

Microsoft sind gezielte Angriffe bekannt, hei\u00dft es, bei denen versucht wird, diese Sicherheitsl\u00fccke mithilfe speziell gestalteter Microsoft Office-Dokumente auszunutzen. Im Beitrag Microsoft Security Update Summary (11. Juli 2023)<\/a> hatte ich erw\u00e4hnt, dass das z.B. das gerade im Juli 2023 stattgefundene Nato Gipfeltreffen im Baltikum angegriffen wurde (die Kollegen von Bleeping Computer hatten dies hier<\/a> erw\u00e4hnt). Inzwischen gibt es auch eine CERT-Bund Warnung<\/a>.<\/p>\n

\"CERT-Bund-Warnung<\/a><\/p>\n

Die RCE-Schwachstelle in Microsoft Windows und Office hat einen\u00a0 CVEv3 Score 8.3 und das important erhalten. Eine Gruppe Storm-0978 aus Russland, auch unter Namen wie DEV-0978 oder RomCom gef\u00fchrt, wird der Angriffe bezichtigt. Die Akteure sind auf Ransomware-Kampagnen (Undergrund Ransomware) und Erpressung spezialisiert. Zu den Zielregionen geh\u00f6ren die Ukraine, Nordamerika und Europa, w\u00e4hrend zu den Zielbranchen Telekommunikation und Finanzen geh\u00f6ren.<\/p>\n

Von Microsoft gibt es diesen Blog-Beitrag<\/a>, der einige Informationen zu den Zielen der Gruppe offen legt und viele weitere Details erh\u00e4lt. Storm-0978 benutzt eine als RomCom bezeichnete Backdoor f\u00fcr ihre Ransomware- und Erpressungsoperationen (Ransomware Underground) sowie gezielte Kampagnen zum Sammeln von Anmeldeinformationen. Es wird vermutet, dass die letztgenannten Aktivit\u00e4ten wahrscheinlich zur Unterst\u00fctzung von Geheimdienstoperationen dienen.<\/p>\n

Weiterhin wird auch die Ransomware Industrial Spy verwandt, die erstmals im Mai 2022 in freier Wildbahn beobachtet wurde. Bei der letzten Kampagne des Akteurs, die im Juni 2023 entdeckt wurde, wurde CVE-2023-36884 missbraucht, um eine Backdoor bereitzustellen, die \u00c4hnlichkeiten mit RomCom aufweist.<\/p>\n

F\u00fcr die Angriffe auf Unternehmen werden trojanisierten Versionen beliebter legitimer Software-Pakete verwendet, die per Phishing-Mail verschickt werden. Microsoft\u00a0 schreibt, dass die gezielten Operationen von Storm-0978 Regierungs- und Milit\u00e4reinrichtungen vor allem in der Ukraine sowie Organisationen in Europa und Nordamerika betrafen, die m\u00f6glicherweise in ukrainische Angelegenheiten verwickelt sind. Die identifizierten Ransomware-Angriffe richteten sich unter anderem auf die Telekommunikations- und Finanzbranche.<\/p>\n

Kein Patch, aber Defender-Erkennung<\/h2>\n

Wie bereits oben erw\u00e4hnt, gibt es derzeit keinen Patch, um die Schwachstelle zu beseitigen. Laut Microsoft sind Kunden, die Microsoft Defender f\u00fcr Office 365 verwenden, vor b\u00f6sartigen Anh\u00e4ngen gesch\u00fctzt, die versuchen, CVE-2023-36884 auszunutzen. Dar\u00fcber hinaus sind Nutzer von Microsoft 365 Apps (Version 2302 und h\u00f6her) ebenfalls vor der Ausnutzung der Sicherheitsl\u00fccke \u00fcber Office gesch\u00fctzt. Dazu gibt es auch einen Regel, um das Erzeugen von Child-Prozessen zu verhindern (siehe<\/a>).<\/p>\n

Unternehmen, die diese Schutzma\u00dfnahmen nicht in Anspruch nehmen k\u00f6nnen, k\u00f6nnen laut dem Microsoft Blog-Beitrag<\/a> den Registrierungsschl\u00fcssel FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION f\u00fcr den Internet Explorer unter:<\/p>\n

HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Internet Explorer\\Main\\FeatureControl<\/pre>\n
hinzuf\u00fcgen und dort die Namen der blockierten Anwendungen (Excel etc.) als Werte angeben (siehe Screenshot<\/a> sowie die Anleitung unter CVE-2023-36884<\/a>), um eine Ausnutzung zu verhindern. Beachtet aber diesen Kommentar<\/a> bzgl. der genauen Bezeichnung der .exe-Dateien bei PowerPoint (m\u00fcsste Powerpnt.exe<\/em> sein).<\/p>\n
\"IE<\/a>
\nIE-Registrierungseintrag gegen CVE-2023-36884; Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n
Weitere Empfehlungen zur Schadensbegrenzung finden Sie im verlinkten Blog-Beitrag. Von Blackberry gibt es eine Analyse<\/a>, die Administratoren den Tipp gibt, auf ausgehenden Datenverkehr im Netzwerk zu schauen, um eine Infektion zu erkennen. Interessant ist dort, dass die Follina-Schwachstelle erw\u00e4hnt.<\/p>\n
\u00c4hnliche Artikel:
\n<\/strong>Microsoft Security Update Summary (11. Juli 2023)<\/a>
\nPatchday: Windows 10-Updates (11. Juli 2023)<\/a>
\nPatchday: Windows 11\/Server 2022-Updates (11. Juli 2023)<\/a>
\nWindows 7\/Server 2008 R2; Server 2012 R2: Updates (11. Juli 2023)<\/a>
\nMicrosoft Office Updates (11. Juli 2023)<\/a><\/p>\n
Windows: Weiterhin Malware in Kernel-Treibern ladbar (RedDriver-Angriff)<\/a>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Kurzer Nachtrag in Sachen Sicherheit. Zum 11. Juli 2023 (Patchday) ist noch eine 0-Day-Schwachstelle (CVE-2023-36884) \u00f6ffentlich geworden, die eine Remote Code Execution in Microsoft Windows und Office erm\u00f6glicht. Die Schwachstelle wurde von Hackern der Gruppe Storm-0978 bereits f\u00fcr Angriffe auf … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,301],"tags":[2564,4322,8395,3288],"class_list":["post-283707","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-windows","tag-hack","tag-office","tag-sicherhheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283707","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283707"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283707\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283707"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283707"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283707"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}