Alert!

Warten auf Windows-Patches: Selbstbau-Anleitung für MSHTML-Exploit in Umlauf

Sicherheitsforscher warnen, wie Angreifer Microsofts Schutzmaßnahmen vor Windows-Attacken umgehen könnten. Außerdem ist ein Exploit-Baukasten verfügbar.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 10 Beiträge

(Bild: charnsitr/Shutterstock.com)

Von
  • Dennis Schirrmacher

Da es noch keine Sicherheitspatches für eine Sicherheitslücke in Windows gibt, die Angreifer derzeit im Visier haben, rät Microsoft Admins dazu, Systeme mit Übergangslösungen abzusichern. Doch diese schützen Sicherheitsforschern zufolge nicht zuverlässig. Das Angebot von Exploit-Code in Hacker-Foren verschärft die Situation.

Mittels präparierter Office-Dokumente versuchen Angreifer derzeit Windows-PCs mit Schadcode zu infizieren. Durch eine Sicherheitslücke (CVE-2021-40444 "hoch") in der HTML-Rendering-Engine MSHTML von Windows könnte nach dem Öffnen von solchen Dokumenten ein Trojaner auf Systeme gelangen. Ein Sicherheitspatch für Windows 8.1 bis 10 und Windows Server 2008 bis 2019 ist noch nicht verfügbar und kommt aller Voraussicht nach am Patchday in dieser Woche.

Nach dem Öffnen von präparierten Office-Dokumenten sorgen ActiveX-Steuerelemente dafür, dass Schadcode auf Computern landet. Um das zu verhindern, rät Microsoft in einer Warnmeldung Admins dazu, ActiveX für den Internet Explorer zu deaktivieren. Später stellte sich heraus, dass so eine Attacke auch über die Dokument-Vorschau vom Windows Explorer ausgelöst werden kann. Microsoft hat die Warnmeldung um einen weiteren Workaround ergänzt, um ActiveX auch im Explorer zu deaktivieren.

Mittlerweile berichten Sicherheitsforscher aber, dass derartige Attacken auch ohne ActiveX möglich sein sollen. Wie das im Detail abläuft, ist derzeit nicht bekannt. Microsoft zufolge soll der Schutzmechanismus von Office, Dateien aus unbekannten Quellen im abgesicherten Modus zu öffnen, vor solchen Attacken schützen. Erst wenn ein Opfer die Bearbeitung erlaubt, kann ein Angriff erfolgreich sein.

Damit Office etwa Word-Dokumente aus dem Internet im abgesicherten Modus öffnet, müssen die Dateien als Mark of the Web (MoTW) markiert sein. Das ist beim direkten Download von Office-Dokumenten in der Regel der Fall. Kommt so ein Dokument aber in einem Archiv daher, ist die MoTW-Markierung nicht gegeben und der Schutzmechanismus greift nicht, warnen Sicherheitsforscher. Außerdem sollen Attacken auch mit präparierten RTF-Dokumenten funktionieren, für die der abgesicherte Modus nicht anwendbar ist.

Einträgen in einem Hacker-Forum zufolge haben die Angreifer ihren Exploit bereits optimiert. Außerdem gibt es dort eine vergleichsweise einfache Schritt-für-Schritt-Anleitung, wie man sich eine eigene Payload für Attacken erstellt. Das könnte viele Trittbrettfahrer nach sich ziehen, die Windows über die Lücke angreifen.

Sicherheitsforschern zufolge sollen Antiviren-Scanner wie der Microsoft Defender den aktuellen Exploit erkennen und blockieren. Die Angreifer können ihren Code aber jederzeit modifizieren, sodass die Hersteller von Anti-Viren-Software erst wieder nachziehen müssen.

(des)