Digital Eliteboard - Das große Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

PC & Internet Alert!: Warten auf Windows-Patches: Selbstbau-Anleitung für MSHTML-Exploit in Umlauf

Sicherheitsforscher warnen, wie Angreifer Microsofts Schutzmaßnahmen vor Windows-Attacken umgehen könnten. Außerdem ist ein Exploit-Baukasten verfügbar.
Da es noch keine Sicherheitspatches für eine Sicherheitslücke in Windows gibt, die Angreifer derzeit im Visier haben, rät Microsoft Admins dazu, Systeme mit Übergangslösungen abzusichern. Doch diese schützen Sicherheitsforschern zufolge nicht zuverlässig. Das Angebot von Exploit-Code in Hacker-Foren verschärft die Situation.

Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
. Durch eine Sicherheitslücke (CVE-2021-40444 "hoch") in der HTML-Rendering-Engine MSHTML von Windows könnte nach dem Öffnen von solchen Dokumenten ein Trojaner auf Systeme gelangen. Ein Sicherheitspatch für Windows 8.1 bis 10 und Windows Server 2008 bis 2019 ist noch nicht verfügbar und kommt aller Voraussicht nach am Patchday in dieser Woche.

Workarounds schützen nicht optimal​

Nach dem Öffnen von präparierten Office-Dokumenten sorgen ActiveX-Steuerelemente dafür, dass Schadcode auf Computern landet. Um das zu verhindern,
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
, ActiveX für den Internet Explorer zu deaktivieren. Später stellte sich heraus, dass so eine Attacke auch über die Dokument-Vorschau vom Windows Explorer ausgelöst werden kann. Microsoft hat die
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
um einen weiteren Workaround ergänzt, um ActiveX auch im Explorer zu deaktivieren.

Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
, dass derartige Attacken auch ohne ActiveX möglich sein sollen. Wie das im Detail abläuft, ist derzeit nicht bekannt. Microsoft zufolge soll der Schutzmechanismus von Office, Dateien aus unbekannten Quellen im abgesicherten Modus zu öffnen, vor solchen Attacken schützen. Erst wenn ein Opfer die Bearbeitung erlaubt, kann ein Angriff erfolgreich sein.
Damit Office etwa Word-Dokumente aus dem Internet im abgesicherten Modus öffnet, müssen die Dateien als Mark of the Web (MoTW) markiert sein. Das ist beim direkten Download von Office-Dokumenten in der Regel der Fall. Kommt so ein Dokument aber in einem Archiv daher, ist die MoTW-Markierung nicht gegeben und der Schutzmechanismus greift nicht, warnen Sicherheitsforscher. Außerdem sollen Attacken auch mit präparierten RTF-Dokumenten funktionieren,
Bitte, Anmelden oder Registrieren um URL-Inhalte anzeigen!
.

Attacken für jedermann möglich​

Einträgen in einem Hacker-Forum zufolge haben die Angreifer ihren Exploit bereits optimiert. Außerdem gibt es dort eine vergleichsweise einfache Schritt-für-Schritt-Anleitung, wie man sich eine eigene Payload für Attacken erstellt. Das könnte viele Trittbrettfahrer nach sich ziehen, die Windows über die Lücke angreifen.

Sicherheitsforschern zufolge sollen Antiviren-Scanner wie der Microsoft Defender den aktuellen Exploit erkennen und blockieren. Die Angreifer können ihren Code aber jederzeit modifizieren, sodass die Hersteller von Anti-Viren-Software erst wieder nachziehen müssen.

Quelle: heise
 
Oben