Seit Anfang September 2021 sorgt ein kritischer Zero-Day-Exploit für Windows-Systeme für Aufregung: Über eine Schwachstelle in der MSHTML Komponente des Internet Explorers, die in MS Office zur Darstellung von Websiten bzw. HTML verwendet wird, kann mittels präparierter Dokumente Schadsoftware installiert und das System aus der Ferne übernommen werden.

Mittlerweile wurde die Sicherheitslücke mit der CVE-Nummer CVE-2021-40444 mit dem September-Update behoben.[1] Das Update sollte so bald als möglich installiert werden, da bereits gezielte Angriffe stattgefunden haben [2] und die anfänglichen Workarounds umgangen werden können.[3]

MSHTML-Schwachstelle: das Angriffsschema

Der Angriff läuft nach folgendem Schema ab:

• Der Benutzer öffnet ein präpariertes Office-Dokument (über E-Mail empfangen oder auch direkt über einen Web-Link aus dem Internet aufgerufen).
• Im Dokument ist ein ActiveX-Element eingebettet, das eigentlich nur einen eingeschränkten Zugriff auf das System besitzt.
• In diesem Element wird der fix in Windows integrierte MSHTML Vorschau-Browser aufgerufen und dort ein Fehler im Subsystem ausgenutzt.
• Damit kann nun unbemerkt im Hintergrund jede beliebige weitere Schadensroutine auf dem betroffenen System mit vollen Benutzerrechten aktiviert werden.

Der Angreifer muss das Opfer nur dazu bringen, ein MS Office-Dokument anzuwählen – beispielsweise mit Kenntnissen über den Empfänger und einem gezielten E-Mail-Angriff.

Abseits des Windows-Updates achten Sie bitte auf aktuelle Sicherheitssoftware. IKARUS-UserInnen sind geschützt! Eine Liste an Herstellern, die den Angriff erkennen, findet sich unter VirusTotal.com.

Anzeichen einer erfolgreichen Infektion

Ein möglicher „Indicator of Compromise“ ist die Installation von Backdoors. Diese sollen es dem Angreifer ermöglichen, verschiedenste Aktionen durch Fernsteuerung und Fremdzugriff durchzuführen. Eine beobachtete Variante davon sind „Cobalt Strike Beacons“, die unter anderem Command Execution, Key Logging, Datentransfer, SOCKS Proxying und Privilege Escalation ermöglichen. Das Aufdecken entsprechender Aktivitäten ist häufig nur durch aufwändige Untersuchungen und Beobachtung des Netzwerkverkehrs möglich. Die Verbindungen sind typischerweise SSL-verschlüsselt und können ohne Aufbrechen nur mit IP-Adressen oder Domains bekannter Command-and-Control Server identifiziert werden.[4]

Mit „BazaLoader“ oder „Trickbot“ wurde auch andere Schadsoftware, die Fernzugriffe ermöglicht, identifiziert.[5] Auch hier sind erweiterte Threat Detection-Werkzeuge im Netzwerk empfehlenswert, um die Angriffe zu entdecken und verhindern.

Mit der FireEye Endpoint Detection and Response-Lösung, die IKARUS auch als im Scan Center in Wien gehostete Variante anbietet, oder dem erweiterten Security-Service IKARUS managed.defense bieten wir passende Lösungen zur Erkennung und professionellen Reaktion auf Angriffe und Angriffsversuche. Mit dem IKARUS 24/7 incident.response haben Sie im Falle eines Cyber Security Vorfalls außerdem einen professionellen Notfallplan in der Tasche, der Ihnen schnellste Reaktion und Unterstützung durch erfahrene IR-SpezialistInnen garantiert.

Kontaktieren Sie uns unter sales@ikarus.at oder Tel. +43 1 58995-500!

Quellen:

Leseempfehlung:

Verhaltensanalysen, Anomalieerkennung und Sichtbarkeit: Zusatzschutz vor Ransomware