Sicherheitsforscher warnen, wie Angreifer Microsofts Schutzmaßnahmen vor Windows-Attacken umgehen könnten. Außerdem ist ein Exploit-Baukasten verfügbar.
Da es noch keine Sicherheitspatches für eine Sicherheitslücke in Windows gibt, die Angreifer derzeit im Visier haben, rät Microsoft Admins dazu, Systeme mit Übergangslösungen abzusichern. Doch diese schützen Sicherheitsforschern zufolge nicht zuverlässig. Das Angebot von Exploit-Code in Hacker-Foren verschärft die Situation.
Damit Office etwa Word-Dokumente aus dem Internet im abgesicherten Modus öffnet, müssen die Dateien als Mark of the Web (MoTW) markiert sein. Das ist beim direkten Download von Office-Dokumenten in der Regel der Fall. Kommt so ein Dokument aber in einem Archiv daher, ist die MoTW-Markierung nicht gegeben und der Schutzmechanismus greift nicht, warnen Sicherheitsforscher. Außerdem sollen Attacken auch mit präparierten RTF-Dokumenten funktionieren,
Sicherheitsforschern zufolge sollen Antiviren-Scanner wie der Microsoft Defender den aktuellen Exploit erkennen und blockieren. Die Angreifer können ihren Code aber jederzeit modifizieren, sodass die Hersteller von Anti-Viren-Software erst wieder nachziehen müssen.
Quelle: heise
Da es noch keine Sicherheitspatches für eine Sicherheitslücke in Windows gibt, die Angreifer derzeit im Visier haben, rät Microsoft Admins dazu, Systeme mit Übergangslösungen abzusichern. Doch diese schützen Sicherheitsforschern zufolge nicht zuverlässig. Das Angebot von Exploit-Code in Hacker-Foren verschärft die Situation.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Durch eine Sicherheitslücke (CVE-2021-40444 "hoch") in der HTML-Rendering-Engine MSHTML von Windows könnte nach dem Öffnen von solchen Dokumenten ein Trojaner auf Systeme gelangen. Ein Sicherheitspatch für Windows 8.1 bis 10 und Windows Server 2008 bis 2019 ist noch nicht verfügbar und kommt aller Voraussicht nach am Patchday in dieser Woche.Workarounds schützen nicht optimal
Nach dem Öffnen von präparierten Office-Dokumenten sorgen ActiveX-Steuerelemente dafür, dass Schadcode auf Computern landet. Um das zu verhindern,Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, ActiveX für den Internet Explorer zu deaktivieren. Später stellte sich heraus, dass so eine Attacke auch über die Dokument-Vorschau vom Windows Explorer ausgelöst werden kann. Microsoft hat die
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
um einen weiteren Workaround ergänzt, um ActiveX auch im Explorer zu deaktivieren.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, dass derartige Attacken auch ohne ActiveX möglich sein sollen. Wie das im Detail abläuft, ist derzeit nicht bekannt. Microsoft zufolge soll der Schutzmechanismus von Office, Dateien aus unbekannten Quellen im abgesicherten Modus zu öffnen, vor solchen Attacken schützen. Erst wenn ein Opfer die Bearbeitung erlaubt, kann ein Angriff erfolgreich sein.Damit Office etwa Word-Dokumente aus dem Internet im abgesicherten Modus öffnet, müssen die Dateien als Mark of the Web (MoTW) markiert sein. Das ist beim direkten Download von Office-Dokumenten in der Regel der Fall. Kommt so ein Dokument aber in einem Archiv daher, ist die MoTW-Markierung nicht gegeben und der Schutzmechanismus greift nicht, warnen Sicherheitsforscher. Außerdem sollen Attacken auch mit präparierten RTF-Dokumenten funktionieren,
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Attacken für jedermann möglich
Einträgen in einem Hacker-Forum zufolge haben die Angreifer ihren Exploit bereits optimiert. Außerdem gibt es dort eine vergleichsweise einfache Schritt-für-Schritt-Anleitung, wie man sich eine eigene Payload für Attacken erstellt. Das könnte viele Trittbrettfahrer nach sich ziehen, die Windows über die Lücke angreifen.Sicherheitsforschern zufolge sollen Antiviren-Scanner wie der Microsoft Defender den aktuellen Exploit erkennen und blockieren. Die Angreifer können ihren Code aber jederzeit modifizieren, sodass die Hersteller von Anti-Viren-Software erst wieder nachziehen müssen.
Quelle: heise
