6376382705
Jul 12, 2023, updated at Jul 14, 2023 (UTC)
5699
28
6
Ungepatchte MS ZeroDay Lücke (CVE-2023-36884) manuell patchen
Hi.
Diese Lücke wird aktuell aktiv ausgenutzt. Ihr solltet handeln!
Wer kein Defender über M365, veraltete oder alternative MS-Officeversionen nutzt, kann/sollte folgendes Skript auf seinen Clients verteilen und damit die Lücke temporär stopfen (GPO).
Vielleicht hilft es wem.
Gruß
Zu Nebenrisiken und Wirkungen Packungen Sie die Lesungsbeilage und arzten Sie ihren Frag oder Athepoker.
(bislang keine/nicht nennenswerte Nebenwirkungen bekannt)
Diese Lücke wird aktuell aktiv ausgenutzt. Ihr solltet handeln!
Wer kein Defender über M365, veraltete oder alternative MS-Officeversionen nutzt, kann/sollte folgendes Skript auf seinen Clients verteilen und damit die Lücke temporär stopfen (GPO).
$registryPath = "HKLM:\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION"
$applications = @("Excel.exe", "Graph.exe", "MSAccess.exe", "MSPub.exe", "PowerPnt.exe", "Visio.exe", "WinProj.exe", "WinWord.exe", "Wordpad.exe")
if (!(Test-Path -Path $registryPath)) {
New-Item -Path $registryPath -Force | Out-Null
}
foreach ($app in $applications) {
Set-ItemProperty -Path $registryPath -Name $app -Value 1 -Type DWord
}Vielleicht hilft es wem.
Gruß
Zu Nebenrisiken und Wirkungen Packungen Sie die Lesungsbeilage und arzten Sie ihren Frag oder Athepoker.
(bislang keine/nicht nennenswerte Nebenwirkungen bekannt)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7826446572
Url: https://administrator.de/contentid/7826446572
Printed on: April 30, 2024 at 11:04 o'clock
28 Comments
Latest comment
Salut,
also ich greife mal einen Absatz hier auf:
Nutzt man den Defender, ist man grundlegend sicher.
Nutzt man Office am aktuellen Stand, ist man ebenfalls geschützt.
Also eigentlich gar kein Registrykey von nöten?
Grüße
ToWa
also ich greife mal einen Absatz hier auf:
Customers who use Microsoft Defender for Office 365 are protected from attachments that attempt to exploit CVE-2023-36884. In addition, customers who use Microsoft 365 Apps (Versions 2302 and later) are protected from exploitation of the vulnerability via Office.
Nutzt man den Defender, ist man grundlegend sicher.
Nutzt man Office am aktuellen Stand, ist man ebenfalls geschützt.
Also eigentlich gar kein Registrykey von nöten?
Grüße
ToWa
Hi @dertowa,
Jep. Ich habs dennoch mal reingepackt für die, die eben keinen Defender für M365 oder veraltete/alternative MS-Officeversionen nutzen.
Gruß
Jep. Ich habs dennoch mal reingepackt für die, die eben keinen Defender für M365 oder veraltete/alternative MS-Officeversionen nutzen.
Vielleicht hilft es wem.
vielleicht auch nicht Gruß
Nutzt du Microsoft 365 Apps auf dem neusten Stand, bist du sicher.
Es gibt aber noch andere Office Versionen, die noch supportet sind. Für diese gibt es aktuell noch kein Patch.
Da ist die Bemerkung mit "veraltete Office Versionen" irreführend, und so nicht korrekt.
Hallo in die Runde,
da wir weder 365 noch Defender einsetzen, habe ich den Regkey bei mir mal gesetzt und auch neugestartet. Wie erkenne ich denn, dass der greift? Per VBA den Editor aufmachen funktioniert weiterhin...
Danke schonmal für eure Antworten
da wir weder 365 noch Defender einsetzen, habe ich den Regkey bei mir mal gesetzt und auch neugestartet. Wie erkenne ich denn, dass der greift? Per VBA den Editor aufmachen funktioniert weiterhin...
Danke schonmal für eure Antworten
Danke!
Viele Grüße, commodity
Viele Grüße, commodity
1Nutzt man den Defender, ist man grundlegend sicher.
Nutzt man Office am aktuellen Stand, ist man ebenfalls geschützt.
Also eigentlich gar kein Registrykey von nöten?
Grüße
ToWa
So wie ich das interpretiere: nein, ist man per se erstmal nicht. Auch hier muss der Admin erstmal tätig werden: Man muss eine Regel aktivieren.
learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes
Danke!
Sehr gerne Grüße
Sehe ich auch so, wir verwenden z.B. noch Office 2016 Standard und müssen tätig werden.
Die Frage ist nur, was für Auswirkungen hat der RegKey. Hat schon jemand Probleme festgestellt?
Die Frage ist nur, was für Auswirkungen hat der RegKey. Hat schon jemand Probleme festgestellt?
Die Frage ist nur, was für Auswirkungen hat der RegKey. Hat schon jemand Probleme festgestellt?
Bislang nichts. Bin aber auch gespannt auf die Nachwehen ...Gruß
Die Frage ist doch eher gibt es von MS einen Patch oder muss sich wieder jederman selber ein Paddel für sein Boot schnitzen.
2
Wir rollen die RegKeys jetzt erstmal auf eine Test Gruppe aus und lassen die User mal testen. Wenn bis heute Abend keine gravierenden Probleme auftreten, dann rollen wir es für alle aus.
Die Frage ist doch eher gibt es von MS einen Patch oder muss sich wieder jederman selber ein Paddel für sein Boot schnitzen.
Wird es geben (laut Blogeintrag), nur eben .. wann .. und ich pers. mag nicht warten bis sich Microsoft bequemt.
Wir rollen die RegKeys jetzt erstmal auf eine Test Gruppe aus
Korrekte Vorgehensweise. Gruß
Müsste es nicht bei PowerPoint powerpnt.exe anstatt powerpoint.exe heißen?
2
Hallo,
der (Standard-) Defender ist nicht der Defender für Office 365!!
Der kostet zusätzlich zwischen ca. 1,87 € Plan1 oder 4,70 € Plan 2 pro User pro Monat! Ich kannte den nicht und bin drüber gestolpert, alles Defender nennen ist nur eine semigute Idee.
Microsoft Defender for Office 365
Gruß
Benne100
der (Standard-) Defender ist nicht der Defender für Office 365!!
Der kostet zusätzlich zwischen ca. 1,87 € Plan1 oder 4,70 € Plan 2 pro User pro Monat! Ich kannte den nicht und bin drüber gestolpert, alles Defender nennen ist nur eine semigute Idee.
Microsoft Defender for Office 365
Gruß
Benne100
2Das ist korrekt.
1Aufmerksamer Dude. Dachte ich anfangs auch aber ich möchte mich nicht über MS hinwegsetzen da selbst die es so angegeben haben.
Originallink zum Bild:
www.microsoft.com/en-us/security/blog/wp-content/uploads/2023/07/Fig5-settings-prevent-exploitation.webp
Sollte das tatsächlich ein Tippfehler sein (wovon ich ausgehe), passe ich das Script oben an. Bin selbst etwas skeptisch...
Im Zweifel Script ergänzen und beide Einträge hinzufügen. Schadet ja nicht.
Danke + Gruß
¯\_(ツ)_/¯
Edit: Script ergänzt.
1
Sehr schön... dafür steht im Security Update Guide (gerade dort unterwegs) unter CVE 2023 36884 powerpnt.exe
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
Zitat von @Stardave:
Sehr schön... dafür steht im Security Update Guide (gerade dort unterwegs) unter CVE 2023 36884 powerpnt.exe
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
Sehr schön... dafür steht im Security Update Guide (gerade dort unterwegs) unter CVE 2023 36884 powerpnt.exe
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
1A Microsoft. :facepalm:
Danke Dir.
2
Ja, dass ist wirklich peinlich von MS und das BSI hat auch noch powerpoint.exe in die offizielle Meldung übernommen :/
Unsere Tests sind bisher ohne Probleme verlaufen. Wir werden die RegKeys morgen an alle verteilen.
Auch sind auf unserer Firewall noch keine bekannten IPs aufgetaucht. Zumindest hat BlackBerry hier ein paar Infos zusammengefasst -> https://blogs.blackberry.com/en/2023/07/romcom-targets-ukraine-nato-memb ...
Unsere Tests sind bisher ohne Probleme verlaufen. Wir werden die RegKeys morgen an alle verteilen.
Auch sind auf unserer Firewall noch keine bekannten IPs aufgetaucht. Zumindest hat BlackBerry hier ein paar Infos zusammengefasst -> https://blogs.blackberry.com/en/2023/07/romcom-targets-ukraine-nato-memb ...
dass ist wirklich peinlich von MS
Ach, was erwarten wir eigentlich ... BSI hat auch noch powerpoint.exe in die offizielle Meldung übernommen :/
Sauber, guter Fund! Direkt ne Mail hingeschubst. Mir fehlen die Worte.. eigentlich sollten doch exakt diese Instanzen Ihr geschriebenes gegenprüfen oder zumindest validieren.Oh man..
Unsere Tests sind bisher ohne Probleme verlaufen.
same herezusammengefasst
Danke Dir! Danke Euch!
Gruß
Moin bei uns gibts keine Main in der Registry, habt ihr die auch erstellt?
Natürlich muss man den Pfad anlegen , das ist der "Policies" Ordner da ist nichts automatisch vorhanden, außer die Policies(GPOs) die man definiert hat.
liegt an Windows 11 weil es da keinen IE mehr gibt? In den affected Systems stehen aber ja auch Systeme über Windows 10 etc
Hi.
Steht doch hier eigentlich eindeutig?!
Gruß
Moin bei uns gibts keine Main in der Registry, habt ihr die auch erstellt?
Gibt es nativ aktuell nicht und ja, das Script oben erstellt den Pfad samt Unterordner.Steht doch hier eigentlich eindeutig?!
if (!(Test-Path -Path $registryPath)) {
New-Item -Path ....liegt an Windows 11 weil es da keinen IE mehr gibt?
Nein.Gruß
Bisher bei keinen meiner Kunden Auffälligkeiten bzgl. der Office-Funktionalitäten.
1
Nachdem ich dem BSI via Telefon gefragt hatte, ob das nicht u.A. deren Job sei, nicht alles blind zu kopieren und es zu validieren, stimmte mir der Mensch am Telefon zu, wollte aber nichts weiter dazu sagen.
Auf jeden Fall ist Version 1.1 nun released mit den richtigen AppNamen.
www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-248752-1012.pdf?__blob=publicationFile&v=7
Gruß
Auf jeden Fall ist Version 1.1 nun released mit den richtigen AppNamen.
www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-248752-1012.pdf?__blob=publicationFile&v=7
Gruß
3
Hallo, ich wundere mich über den angegebenen Registry-Pfad. Ich könnte zwar
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
stumpf neu anlegen, auf meinem privaten Window 10-Computer finde ich aber statt dessen
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
Kennt jemand den Unterschied? Kann es daran liegen, dass mein Computer nicht Teil einer Domäne ist?
Viele Grüße
Jan
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
stumpf neu anlegen, auf meinem privaten Window 10-Computer finde ich aber statt dessen
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
Kennt jemand den Unterschied? Kann es daran liegen, dass mein Computer nicht Teil einer Domäne ist?
Viele Grüße
Jan
Kennt jemand den Unterschied? Kann es daran liegen, dass mein Computer nicht Teil einer Domäne ist?
Einstellungen im Policies Ordner überschreiben bereits lokal gesetzte Einstellungen immer.Setzen kannst du die Einstellungen bei einem einzelnen Rechner in beiden, aber der Policies Ordner wird am Ende immer gewinnen da höhere Priorität.
Beschäftige dich mal mit GPOs dann verstehst du es.
https://gpsearch.azurewebsites.net/
1
Was ist eigentlich mit Outlook, gehörte bisher zur Office Suite
