MSHTML Zero-Day-Exploit: Präparierte MS-Office Dokumente installieren Schadsoftware

30. September, 2021

Seit Anfang September 2021 sorgt ein kritischer Zero-Day-Exploit für Windows-Systeme für Aufregung: Über eine Schwachstelle in der MSHTML Komponente des Internet Explorers, die in MS Office zur Darstellung von Websiten bzw. HTML verwendet wird, kann mittels präparierter Dokumente Schadsoftware installiert und das System aus der Ferne übernommen werden.

Mittlerweile wurde die Sicherheitslücke mit der CVE-Nummer CVE-2021-40444 mit dem September-Update behoben.[1] Das Update sollte so bald als möglich installiert werden, da bereits gezielte Angriffe stattgefunden haben [2] und die anfänglichen Workarounds umgangen werden können.[3]

MSHTML-Schwachstelle: das Angriffsschema

Der Angriff läuft nach folgendem Schema ab:

  • Der Benutzer öffnet ein präpariertes Office-Dokument (über E-Mail empfangen oder auch direkt über einen Web-Link aus dem Internet aufgerufen).
  • Im Dokument ist ein ActiveX-Element eingebettet, das eigentlich nur einen eingeschränkten Zugriff auf das System besitzt.
  • In diesem Element wird der fix in Windows integrierte MSHTML Vorschau-Browser aufgerufen und dort ein Fehler im Subsystem ausgenutzt.
  • Damit kann nun unbemerkt im Hintergrund jede beliebige weitere Schadensroutine auf dem betroffenen System mit vollen Benutzerrechten aktiviert werden.

Der Angreifer muss das Opfer nur dazu bringen, ein MS Office-Dokument anzuwählen – beispielsweise mit Kenntnissen über den Empfänger und einem gezielten E-Mail-Angriff.

Abseits des Windows-Updates achten Sie bitte auf aktuelle Sicherheitssoftware. IKARUS-UserInnen sind geschützt! Eine Liste an Herstellern, die den Angriff erkennen, findet sich unter VirusTotal.com.

Anzeichen einer erfolgreichen Infektion

Ein möglicher „Indicator of Compromise“ ist die Installation von Backdoors. Diese sollen es dem Angreifer ermöglichen, verschiedenste Aktionen durch Fernsteuerung und Fremdzugriff durchzuführen. Eine beobachtete Variante davon sind „Cobalt Strike Beacons“, die unter anderem Command Execution, Key Logging, Datentransfer, SOCKS Proxying und Privilege Escalation ermöglichen. Das Aufdecken entsprechender Aktivitäten ist häufig nur durch aufwändige Untersuchungen und Beobachtung des Netzwerkverkehrs möglich. Die Verbindungen sind typischerweise SSL-verschlüsselt und können ohne Aufbrechen nur mit IP-Adressen oder Domains bekannter Command-and-Control Server identifiziert werden.[4]

Mit „BazaLoader“ oder „Trickbot“ wurde auch andere Schadsoftware, die Fernzugriffe ermöglicht, identifiziert.[5] Auch hier sind erweiterte Threat Detection-Werkzeuge im Netzwerk empfehlenswert, um die Angriffe zu entdecken und verhindern.

Mit der FireEye Endpoint Detection and Response-Lösung, die IKARUS auch als im Scan Center in Wien gehostete Variante anbietet, oder dem erweiterten Security-Service IKARUS managed.defense bieten wir passende Lösungen zur Erkennung und professionellen Reaktion auf Angriffe und Angriffsversuche. Mit dem IKARUS 24/7 incident.response haben Sie im Falle eines Cyber Security Vorfalls außerdem einen professionellen Notfallplan in der Tasche, der Ihnen schnellste Reaktion und Unterstützung durch erfahrene IR-SpezialistInnen garantiert.

Kontaktieren Sie uns unter sales@ikarus.at oder Tel. +43 1 58995-500!

Quellen:

Leseempfehlung:

Verhaltensanalysen, Anomalieerkennung und Sichtbarkeit: Zusatzschutz vor Ransomware

Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services
Threat Intelligence
SQL Injection
SMTP Smuggling
Cyber-Risiken in der Ferienzeit
passkey
Dynamische Cybersicherheit
NIS2
Harmony Mobile by Check Point
EU Machinery Regulation
Sergejs Harlamovs, Malware-Analyst bei IKARUSprivat

Plug-in IdaClu beschleunigt die Malware-Analyse

IdaClu: IKARUS Malware-Analyst Sergejs Harlamovs gewinnt Hex-Rays Plug-in-Contest
NIS2
Infostealer
Cybercrime
Christoph Barszczewski

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 (0) 1 58995-0
Sales Hotline: +43 (0) 1 58995-500

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 (0) 1 58995-400

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr

Fernwartung:
AnyDesk Download