Schwachstelle durch präparierte Office Dokumente ausgenutzt
Am 7. September 2021 veröffentlichte Microsoft auf seiner Webseite Informationen zu einer bislang nicht gepatchten Sicherheitslücke [MSRC2021], die bereits von Angreifern ausgenutzt wird [TWIT2021]. Hierbei werden präparierte Office-Dokumente versandt. Beim Öffnen dient eine Schwachstelle in der HTML- Rendering-Engine MSHTML von Microsoft dazu, um über den Internet Explorer schadhafte ActiveX- Steuerungselemente nachzuladen und zu installieren. In der Folge ist eine Remote Code Execution (RCE) möglich.
Betroffen sind alle derzeit im Support befindlichen Betriebssysteme – sowohl für Clients als auch für Server. Die Schwachstelle mit der Kennung CVE-2021-40444 hat einen CVSS:3.0-Score von 8.8.
Microsoft weist in seiner Veröffentlichung darauf hin, dass die in Microsoft Office standardmäßig aktivierte geschützte Ansicht die Gefahr einer Infektion bereits signifikant reduziert. Dennoch können Nutzerinteraktionen dazu führen, dass diese Funktionalität außer Kraft gesetzt wird – beispielsweise dann, wenn das präparierte Office-Dokument außerhalb der geschützten Umgebung geöffnet wird.
Es werden folgende Maßnahmen empfohlen
Zur Mitigation empfiehlt Microsoft die Deaktivierung von ActiveX im Internet Explorer für alle Zonen. Die entsprechende Anpassung der Registry kann [MSRC2021] entnommen werden. Auf vorher installierte ActiveX- Steuerelemente haben die neuen Registry-Einstellungen keinen Einfluss, sodass das Risiko von negativen Randeffekten als sehr gering einzustufen ist.
Die Realisierbarkeit dieser Maßnahme sollte zeitnah geprüft werden. Sobald Microsoft ein Sicherheitsupdate zur Verfügung gestellt hat, sollte dieses ebenfalls kurzfristig installiert werden.