Update #2 - Kritische Sicherheitslücke in der Microsoft MSHTML Komponente - Updates und Workarounds verfügbar, Exploits veröffentlicht

8. September 2021

Update: 13. September 2021

Update: 15. September 2021

Beschreibung

Microsoft hat außerhalb des üblichen Patch-Zyklus eine Warnung über eine Sicherheitslücke in der MSHTML Komponente veröffentlicht. Diese kann von Angreifer:innen durch entsprechend präparierte Microsoft Office-Dokumente ausgenutzt werden - laut Microsoft sind solche Dokumente bereits im Umlauf.

CVE-Nummer: CVE-2021-40444

CVSS:3.0 8.8 / 7.9

Update: 13. September 2021

Der Sicherheitsforscher Kevin Beaumont hat in einem Tweet mitgeteilt, dass die Workarounds von Microsoft leicht umgangen werden können. Außerdem gibt es Berichte (z.B. https://heise.de/-6190319), dass die Exploits mittlerweile ohne ActiveX funktionieren und in einschlägigen Foren Anleitungen verfügbar sind, mit deren Hilfe das Erstellen von Exploit-Dokumenten stark vereinfacht wird.

Obwohl viele Antiviren-Scanner in der Lage sind, Exploit-Versuche zu erkennen und zu verhindern, empfehlen wir, besondere Vorsicht beim Öffnen externer Office-Dokumente walten zu lassen.

Update: 15. September 2021

Am "Patch Tuesday" im September 2021 hat Microsoft ein Update veröffentlicht, das CVE-2021-40444 behebt. Dass der Fehler wirklich beseitigt wurde, bestätigt auch Sicherheitsforscher Will Dorman von CERT/CC in einem Tweet.

Auswirkungen

Durch Ausnützen der Lücke können Angreifer:innen laut Microsoft beliebigen Code auf den betroffenen Systemen ausführen, mit den Rechten des angemeldeten Users. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

In Default-Konfigurationen ist aber User-Interaktion nötig, da entsprechend präparierte Office-Dokumente aus dem Internet per Default in "abgesicherten" Modi geöffnet werden, die den Angriff verhindern.

Ebenso erkennen und verhindern die hauseigenen Antivirus-/Sicherheits-Lösungen (Microsoft Defender Antivirus und Microsoft Defender for Endpoint, ab Detection Build 1.349.22.0) ein Ausnutzen dieser Lücke.

Betroffene Systeme

Windows 7 bis Windows 10, Windows Server ab Windows Server 2008 sowie Windows RT 8.1.

Abhilfe

Kurzfristig

  • Anwenden der in der Meldung vom Microsoft angeführten Workarounds
  • Sicherstellen, dass die Defaults zum Öffnen von Microsoft Office-Dokumenten aus dem Internet nicht verändert wurden
  • Verifizieren, dass eingesetzte Antivirus-/Sicherheits-Lösungen entsprechende Erkennung haben

Langfristig

  • Einspielen der entsprechenden Updates/Patches, sobald diese zur Verfügung stehen (voraussichtlich zum nächsten "Patch Tuesday" am 14. 9. 2021)

Update: 15. September 2021

Wie erwartet, behebt das Update vom "Patch Tuesday" aus dem September 2021 die Schwachstelle CVE-2021-40444.

Hinweis

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.


Informationsquelle(n):

Warnung von Microsoft (englisch): https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

Artikel bei heise.de: https://www.heise.de/news/Attacken-auf-Windows-Vorsicht-vor-praeparierten-Office-Dokumenten-6185702.html

"Patch Tuesday" 2021-09: https://support.microsoft.com/en-us/topic/september-14-2021-kb5005633-monthly-rollup-cc6f560a-86da-4540-8bb1-df118fa45eb8