CERT.at-Warnung: Kritische Sicherheitslücke in der Microsoft MSHTML Komponente

Microsoft hat außerhalb des üblichen Patch-Zyklus eine Warnung über eine Sicherheitslücke in der MSHTML Komponente veröffentlicht. Diese kann durch entsprechend präparierte Microsoft Office-Dokumente für schädliche Zwecke ausgenutzt werden - laut Microsoft sind solche Dokumente bereits im Umlauf.



CVE-Nummer: CVE-2021-40444

CVSS:3.0 8.8 / 7.9

 

Auswirkungen

 

Durch Ausnützen der Lücke können Angreifer/innen laut Microsoft beliebigen Code auf den betroffenen Systemen ausführen, mit den Rechte des angemeldeten Users. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.

 

 

Ergänzung Kaspersky:  Die Angriffe werden über ein schädliches ActiveX-Steuerelement, das in Dokumenten von Microsoft Office eingebettet ist, ausgeführt. Das Steuerelement ermöglicht die Ausführung von willkürlichem Code. Solche Dokumente werden in der Regel per E-Mail-Anhang in die Computer geschleust. Also müssen die Cyberverbrecher auch in diesem Fall ihre potenziellen Opfer erst dazu bringen, die Datei zu öffnen.

 

Ergänzung A.SYS: Das Auslösen der Schadfunktion ist auch in der geschützten Ansicht bei verseuchten RTF-Dokumenten möglich. Aktualisierte Versionen der Endpoint Security von Kaspersky, ESET und Avast schützen jedoch durch Ihre Exploit-Erkennung vor Angriffen über diese Sicherheitslücke. Wir empfehlen auch auf Ebene der Mail-Server entsprechend aktuelle Security-Software einzusetzen.

 

Betroffene Systeme

 

Windows 7 bis Windows 10, Windows Server ab Windows Server 2008 sowie Windows RT 8.1.

 

Abhilfe

 

Kurzfristig

     * Anwenden der in der Meldung vom Microsoft angeführten Workarounds

     * Sicherstellen, dass die Defaults zum Öffnen von Microsoft Office-Dokumenten aus dem Internet nicht verändert wurden

     * Verifizieren, dass eingesetzte Antivirus-/Sicherheits-Lösungen entsprechende Erkennung haben

 

Langfristig

     * Einspielen der entsprechenden Updates/Patches, sobald diese zur Verfügung stehen (voraussichtlich zum nächsten "Patch Tuesday" am 14. 9. 2021)

 

Hinweis

 

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

 

 

Weitere Informationen:

 

Warnung inkl. Workarounds von Microsoft (englisch):

CVE-2021-40444 - Security Update Guide - Microsoft - Microsoft MSHTML Remote Code Execution Vulnerability

 

Artikel inkl. Workaround bei heise.de:

Attacken auf Windows: Vorsicht vor präparierten Office-Dokumenten | heise online

 

Aktueller Beitrag vom 13.09.2021 auf heise.de:

Warten auf Windows-Patches: Selbstbau-Anleitung für MSHTML-Exploit in Umlauf | heise online