Microsoft empfiehlt temporären Fix für ActiveX-Sicherheitslücke

Microsoft hat bestätigt, dass aktuell eine Office 365-Sicherheitslücke aktiv ausgenutzt wird. Solang der Konzern noch kein Security-Update liefern kann, wird empfohlen, vorläufig die Installation aller ActiveX-Steuerelemente im Internet Explorer zu deaktivieren.
Sicherheit, Security, Schadsoftware, Antivirus, Cybersecurity, Anti-Virus, Windows Logo, Windows Defender, anti-malware, Defender, Antivirensoftware, Microsoft Defender, Anti-Viren-Software, Windows Defender Advanced Threat Protection, Windows Antivirus, Windows Defender Security Center, Windows Schild
Sicherheitsforscher hatten das Problem am Sonntag an Microsoft gemeldet, gestern hat das Windows-Sicherheits-Team dann eine Warnung vor CVE-2021-40444, einer Schwachstelle, die alle Windows und Server Versionen betrifft, veröffentlicht. Ausgenutzt wird dabei eine Sicherheitslücke in Office beziehungsweise der ActiveX-Elemente im Internet Explorer. Zum Einsatz kommt dafür eine speziell manipulierte docx.-Datei. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnung der Risikostufe 4 herausgegeben, da die Schwachstelle Codeausführung ermöglicht und die Ausnutzung in freier Wildbahn gesichtet wurde.

Details zur Schwachstelle

  • Microsoft untersucht Berichte über eine Sicherheitslücke bei der Remotecodeausführung in MSHTML, die Microsoft Windows betrifft. Microsoft sind gezielte Angriffe bekannt, bei denen versucht wird, diese Sicherheitsanfälligkeit mithilfe speziell gestalteter Microsoft Office-Dokumente auszunutzen.
  • Ein Angreifer könnte ein bösartiges ActiveX-Steuerelement so gestalten, dass es von einem Microsoft Office-Dokument verwendet wird, das die Browser-Rendering-Engine hostet. Der Angreifer müsste dann den Benutzer dazu bringen, das bösartige Dokument zu öffnen. Benutzer, deren Konten so konfiguriert sind, dass sie weniger Benutzerrechte auf dem System haben, könnten weniger betroffen sein als Benutzer, die mit administrativen Benutzerrechten arbeiten.
  • Microsoft Defender Antivirus und Microsoft Defender for Endpoint bieten beide Erkennung und Schutz für die bekannte Sicherheitslücke. Kunden sollten ihre Antimalware-Produkte auf dem neuesten Stand halten. Kunden, die automatische Updates verwenden, müssen keine zusätzlichen Maßnahmen ergreifen. Unternehmenskunden, die Updates verwalten, sollten das Erkennungs-Build 1.349.22.0 oder neuer auswählen und es in ihren Umgebungen einsetzen. Microsoft Defender for Endpoint-Warnungen werden wie folgt angezeigt: "Verdächtige Cpl-Datei-Ausführung".
  • Nach Abschluss dieser Untersuchung wird Microsoft die entsprechenden Maßnahmen zum Schutz unserer Kunden ergreifen. Dazu kann die Bereitstellung eines Sicherheitsupdates im Rahmen unseres monatlichen Veröffentlichungsprozesses oder die Bereitstellung eines Sicherheitsupdates außerhalb des Zyklus gehören, je nach Kundenbedarf.

Vorläufiger Fix für laufende Office 365 Zero-Day-Angriffe

Zusätzlich hat Microsoft erste "Abhilfemaßnahmen" und Tipps zur "Umgehung" der Schwachstelle veröffentlicht. Um sein System effektiv vor dieser Sicherheitslücke zu schützen, können Nutzer die ActiveX-Steuerelemente deaktivieren, bis es ein Update gibt. Dazu erstellt man eine Textdatei und fügt folgendes ein:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003

Update ist schon angekündigt

Die Datei soll dann unter dem Namen "ActiveX.reg" gespeichert werden. Die Datei wird dann per Doppelklick gestartet und man muss den Anweisungen, die angezeigt werden, genau folgen. Dies setzt die URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) und URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) für alle Internetzonen für 64-Bit- und 32-Bit-Prozesse auf DISABLED (3). Neue ActiveX-Steuerelemente werden nicht installiert. Zuvor installierte ActiveX-Steuerelemente werden weiterhin ausgeführt.

Download RogueKiller - Malware aufspüren und entfernen Download Malwarebytes Premium - Vierfacher Schutz Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!