Microsoft hat außerhalb des üblichen Patch-Zyklus eine Warnung über eine Sicherheitslücke in der MSHTML Komponente veröffentlicht.
Diese kann durch entsprechend präparierte Microsoft Office-Dokumente für schädliche Zwecke ausgenutzt werden – laut Microsoft sind solche Dokumente bereits im Umlauf.
Microsoft hat außerhalb des üblichen Patch-Zyklus eine Warnung über eine Sicherheitslücke in der MSHTML Komponente veröffentlicht. Diese kann durch entsprechend präparierte Microsoft Office-Dokumente für schädliche Zwecke ausgenutzt werden – laut Microsoft sind solche Dokumente bereits im Umlauf.
CVE-Nummer: CVE-2021-40444
CVSS:3.0 8.8 / 7.9
Auswirkungen
Durch Ausnützen der Lücke können Angreifer/innen laut Microsoft beliebigen Code auf den betroffenen Systemen ausführen, mit den Rechte des angemeldeten Users. Damit sind alle Daten auf diesen Systemen, sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und Systeme gefährdet.
Ergänzung Kaspersky: Die Angriffe werden über ein schädliches ActiveX-Steuerelement, das in Dokumenten von Microsoft Office eingebettet ist, ausgeführt. Das Steuerelement ermöglicht die Ausführung von willkürlichem Code. Solche Dokumente werden in der Regel per E-Mail-Anhang in die Computer geschleust. Also müssen die Cyberverbrecher auch in diesem Fall ihre potenziellen Opfer erst dazu bringen, die Datei zu öffnen.
Ergänzung A.SYS: Das Auslösen der Schadfunktion ist auch in der geschützten Ansicht bei verseuchten RTF-Dokumenten möglich. Aktualisierte Versionen der Endpoint Security von Kaspersky, ESET und Avast schützen jedoch durch Ihre Exploit-Erkennung vor Angriffen über diese Sicherheitslücke. Wir empfehlen auch auf Ebene der Mail-Server entsprechend aktuelle Security-Software einzusetzen.
Betroffene Systeme
Windows 7 bis Windows 10, Windows Server ab Windows Server 2008 sowie Windows RT 8.1.
Abhilfe
Kurzfristig
* Anwenden der in der Meldung vom Microsoft angeführten Workarounds
* Sicherstellen, dass die Defaults zum Öffnen von Microsoft Office-Dokumenten aus dem Internet nicht verändert wurden
* Verifizieren, dass eingesetzte Antivirus-/Sicherheits-Lösungen entsprechende Erkennung haben
Langfristig
* Einspielen der entsprechenden Updates/Patches, sobald diese zur Verfügung stehen (voraussichtlich zum nächsten „Patch Tuesday“ am 14. 9. 2021)
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Weitere Informationen:
Warnung inkl. Workarounds von Microsoft (englisch):
Artikel inkl. Workaround bei heise.de:
Attacken auf Windows: Vorsicht vor präparierten Office-Dokumenten | heise online
Aktueller Beitrag vom 13.09.2021 auf heise.de:
Warten auf Windows-Patches: Selbstbau-Anleitung für MSHTML-Exploit in Umlauf | heise online