CVE-2021-40444 | Microsoft MSHTML Remotecodeausführung Sicherheitsanfälligkeit

Aktuell gibt es eine kritische Sicherheitslücke im Zusammenhang mit MSHTML-Dokumenten bzw. ActiveX-Komponenten des Internet Explorers und Office-Anhängen.

Beschreibung aus dem Microsoft Security Response Center:

Microsoft untersucht Berichte über eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in MSHTML, die Microsoft Windows betrifft. Microsoft kennt gezielte Angriffe, die versuchen, diese Sicherheitsanfälligkeit mithilfe speziell gestalteter Microsoft Office-Dokumente auszunutzen.

Ein Angreifer könnte ein bösartiges ActiveX-Steuerelement erstellen, das von einem Microsoft Office-Dokument verwendet wird, das die Browser-Rendering-Engine hostet. Der Angreifer müsste dann den Benutzer davon überzeugen, das schädliche Dokument zu öffnen. Benutzer, deren Konten mit weniger Benutzerrechten auf dem System konfiguriert sind, könnten weniger betroffen sein als Benutzer, die mit administrativen Benutzerrechten arbeiten.

Microsoft Defender Antivirus und Microsoft Defender for Endpoint bieten beide Erkennung und Schutz für die bekannte Sicherheitsanfälligkeit. Kunden sollten Anti-Malware-Produkte auf dem neuesten Stand halten. Kunden, die automatische Updates verwenden, müssen keine zusätzlichen Maßnahmen ergreifen. Unternehmenskunden, die Updates verwalten, sollten den Erkennungsbuild 1.349.22.0 oder höher auswählen und in ihren Umgebungen bereitstellen. Microsoft Defender for Endpoint-Warnungen werden als „Verdächtige Cpl-Dateiausführung“ angezeigt.

Nach Abschluss dieser Untersuchung ergreift Microsoft die geeigneten Maßnahmen zum Schutz unserer Kunden. Dies kann die Bereitstellung eines Sicherheitsupdates über unseren monatlichen Veröffentlichungsprozess oder die Bereitstellung eines Sicherheitsupdates außerhalb des Zyklus umfassen, je nach Kundenbedarf.

In den Abschnitten „Mitigations“ und „Workaround“ finden Sie wichtige Informationen zu den Schritten, die Sie ergreifen können, um Ihr System vor dieser Sicherheitsanfälligkeit zu schützen.

CVE-2021-40444 – Leitfaden für Sicherheitsupdates – Microsoft – Microsoft MSHTML Remote Code Execution Vulnerability

Einen Workaround bzw. Risikominderung ist bereits verfügbar.

Microsoft Office öffnet Dokumente aus dem Internet standardmäßig in der geschützten Ansicht oder Application Guard for Office. Damit wird der aktuelle Angriff verhindert.

Risikominderung

Das Deaktivieren der Installation aller ActiveX-Steuerelemente in Internet Explorer entschärft diesen Angriff. Mit einer Aktualisierung der Registrierung kann dies für alle Websites umgesetzt werden. Zuvor installierte ActiveX-Steuerelemente werden weiterhin ausgeführt, sind jedoch nicht von dieser Sicherheitsanfälligkeit betroffen.

Problemumgehung

Problemumgehung via GPO

Navigieren Sie in den Gruppenrichtlinieneinstellungen zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Internet Explorer > Internetsystemsteuerung > Sicherheitsseite

Für jede Zone:

  1. Select the zone (Internet Zone, Intranet Zone, Local Machine Zone, or Trusted Sites Zone).
  2. Double-click Download signed ActiveX controls and Enable the policy. Then set the option in the policy to Disable.
  3. Double-click Download unsigned ActiveX controls and Enable the policy. Then set the option in the policy to Disable.

Wir empfehlen, diese Einstellung auf alle Zonen anzuwenden, um Ihr System vollständig zu schützen.

Auswirkung der Problemumgehung

This sets the URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) and URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) to DISABLED (3) for all internet zones for 64-bit and 32-bit processes. New ActiveX controls will not be installed. Previously-installed ActiveX controls will continue to run.

So machen Sie die Problemumgehung rückgängig

Legen Sie die Option in der Richtlinie auf „Enable“ fest.

Problemumgehung via Registry

Um die Installation von ActiveX-Steuerelementen in Internet Explorer in allen Zonen zu deaktivieren, fügen Sie Folgendes in eine Textdatei ein und speichern Sie sie mit der Dateierweiterung .reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003

Doppelklicken Sie auf die .reg-Datei, um sie auf Ihre Richtlinienstruktur anzuwenden.
Starten Sie das System neu, um sicherzustellen, dass die neue Konfiguration angewendet wird.

Auswirkung der Problemumgehung

This sets the URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) and URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) to DISABLED (3) for all internet zones for 64-bit and 32-bit processes. New ActiveX controls will not be installed. Previously-installed ActiveX controls will continue to run.

So machen Sie die Problemumgehung rückgängig

Löschen Sie die Registrierungsschlüssel, die bei der Implementierung dieser Problemumgehung hinzugefügt wurden.

Die Vorschau im Windows Explorer deaktivieren

Das Deaktivieren der Shell-Vorschau verhindert, dass ein Benutzer eine Vorschau von Dokumenten in Windows Explorer anzeigt. Führen Sie diese Schritte für jeden Dokumenttyp aus, dessen Vorschau Sie verhindern möchten:

  1. Navigieren Sie im Registrierungseditor zum entsprechenden Registrierungsschlüssel:

Für Word Dokumente:

  • HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  • HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  • HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}

Für RTF-Dokumente (Rich Text Files):

  • HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  1. Exportieren Sie eine Kopie des Regkeys zur Sicherung.
  2. Doppelklicken Sie auf Name und löschen Sie im Dialogfeld String bearbeiten die Wertdaten.
  3. OK klicken

Auswirkung der Problemumgehung

Benutzer können im Windows Explorer keine Dokumente in der Vorschau anzeigen.

So machen Sie die Problemumgehung rückgängig

Doppelklicken Sie auf die REG-Datei, die Sie in Schritt 2 der Problemumgehung erstellt haben.

Ronny Böttcher

Microsoft-Systemadministrator seit 2007 und seit 2021 als IT-Consultant bei Bechtle in Deutschland am Standort Mannheim; alle bisherigen Stationen siehe bei "Über mich". In seiner Freizeit bei der Feuerwehr und Modellbahner, zudem gerne am Kochen/Grillen - oder am Essen 😁

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

GDPR Cookie Consent mit Real Cookie Banner