Obacht wegen MSHTML-Schwachstelle CVE-2021-40444
Ich kippe es mal hier herein, weil ich auf die Schnelle nicht gesehen habe, dass es hier erwähnt wurde. Die MSHTML-Komponente in Windows enthält eine ungepatchte Schwachstelle CVE-2021-40444, die eine Remote-Code-Ausführung ermöglicht.
Das Ganze wird seit ca. 1 Woche aktiv durch Angreifer ausgenutzt, die manipulierte Office-Dokumente (Word-Dateien) für den Angriff verwenden. Microsoft hatte die Tage bereits eine Sicherheitswarnung herausgegeben. Die Nacht wurde die kräftig erweitert, umfasst aber noch immer nicht alles. Es reicht, einen Ordner mit einer bösartigen RTF-Dokumentdatei im Explorer zu öffnen, um einen Exploit zu triggern. Der letzte Stand von Microsoft ist, dass man die Zuordnung diverser Dateinamenerweiterungen per Registry-Eingriff aufheben solle. Eine Übersicht findet sich in folgenden Beiträgen:
MSHTML-Schwachstelle CVE-2021-40444 kritischer als bekannt
Angriff über Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)
Das Ganze wird seit ca. 1 Woche aktiv durch Angreifer ausgenutzt, die manipulierte Office-Dokumente (Word-Dateien) für den Angriff verwenden. Microsoft hatte die Tage bereits eine Sicherheitswarnung herausgegeben. Die Nacht wurde die kräftig erweitert, umfasst aber noch immer nicht alles. Es reicht, einen Ordner mit einer bösartigen RTF-Dokumentdatei im Explorer zu öffnen, um einen Exploit zu triggern. Der letzte Stand von Microsoft ist, dass man die Zuordnung diverser Dateinamenerweiterungen per Registry-Eingriff aufheben solle. Eine Übersicht findet sich in folgenden Beiträgen:
MSHTML-Schwachstelle CVE-2021-40444 kritischer als bekannt
Angriff über Office-Dokumente auf Microsoft MSHTML (ActiveX) RCE-Schwachstelle (CVE-2021-40444)
Please also mark the comments that contributed to the solution of the article
Content-ID: 1246637719
Url: https://administrator.de/contentid/1246637719
Printed on: December 12, 2024 at 00:12 o'clock
1 Comment
Hierzu die Stellungnahme unseres Dienstleisters:
Zitat: ...Bis dahin bietet Microsoft einen Workaround an. Hier wird empfohlen, die Registry zu deaktivieren. Nach Einschätzung unserer Experten bietet dieser Workaround keinen ausreichenden Schutz, da dieser bereits umgangen wird.
Gebot der Stunde - Awareness: Mitarbeiter sensibilisieren und schnellstmöglich darauf hinweisen, dass keinerlei ausführbare Inhalte zu aktivieren sind! Bei der Öffnung unbekannter E-Mails/Dokumente ist stets größte Sorgfalt geboten und im Zweifel (auch bei als bekannt getarnten Absendern) die IT zu informieren.
...
Also die Cat9-Peitsche ausgepackt und damit den Usern gedroht!
Zitat: ...Bis dahin bietet Microsoft einen Workaround an. Hier wird empfohlen, die Registry zu deaktivieren. Nach Einschätzung unserer Experten bietet dieser Workaround keinen ausreichenden Schutz, da dieser bereits umgangen wird.
Gebot der Stunde - Awareness: Mitarbeiter sensibilisieren und schnellstmöglich darauf hinweisen, dass keinerlei ausführbare Inhalte zu aktivieren sind! Bei der Öffnung unbekannter E-Mails/Dokumente ist stets größte Sorgfalt geboten und im Zweifel (auch bei als bekannt getarnten Absendern) die IT zu informieren.
...
Also die Cat9-Peitsche ausgepackt und damit den Usern gedroht!