Microsoft empfiehlt Administratoren derzeit Systeme aufgrund einer Sicherheitslücke in Windows mit Übergangslösungen abzusichern. Sicherheitsforschern zufolge bieten diese Workarounds jedoch keinen zuverlässigen Schutz. Weiter verschärft wird die Situation durch die Vefügbarkeit von Exploit-Code in Hacker-Foren.

Angreifer versuchen derzeit mithilfe präparierter Office-Dokumente Windows-Systeme mit Schadcode zu infizieren - dabei wird eine Sicherheitslücke (CVE-2021-40444 "hoch") in der HTML-Rendering-Engine MSHTML von Windows ausgenutzt. Durch Öffnen von präparierten Dokumenten können Trojaner auf Systeme gelangen. Da sogenannte ActiveX-Steuerelemente dafür sorgen, dass Schadcode auf Computer gelangt, rät Microsoft in einer Warnmeldung zur Deaktivierung von ActiveX für den Internet Explorer sowie auch im Windows Explorer.

Berichten von Sicherheitsforschern zufolge sind die Attacken jedoch auch ohne ActiveX möglich - Details zum Ablauf sind nicht bekannt. Der Schutzmechanismus von Office, bei dem Dateien aus unbekannten Quellen in einem abgesicherten Modus geöffnet werden, soll Microsoft zufolge schützen. Erst nach Erlauben der Bearbeitung sei ein Angriff möglich. Sicherheitsforscher warnen an dieser Stelle jedoch auch davor, dass der Schutzmechanismus unter bestimmten Voraussetzungen, etwa wenn ein Dokument aus einem Archiv stammt, nicht greifen. Weiterhin sollen Attacken mit RTF-Dokumenten möglich sein - hier greife der abgesicherte Modus ebenfalls nicht.

Die Angreifer sollen ihren Exploit bereits optimiert haben. Außerdem existiere eine vergleichsweise einfache Anleitung zur Erstellung eines Payload für einen Angriff. Inzwischen hat Microsoft Sicherheitspatches für Windows 7 bis 10 sowie Windows Server 2008 bis 2019 veröffentlicht. Weitere Informationen hierzu sind der entsprechenden Warnmeldung von Microsoft zu entnehmen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE