So erkennen Sie den Zero-Day-Exploit CVE-2021-40444 in Microsoft MSHTML

von Bhabesh Raj Rai, Associate Security Analytics Engineer

Am 7. September 2021 veröffentlichte Microsoft eine Empfehlung zu einer Zero-Day-Schwachstelle (CVE-2021-40444) in Microsoft MSHTML, die Angreifer aktiv über Microsoft Office-Dokumente ausnutzen. Bis ein Patch veröffentlicht wird, hat Microsoft Workarounds als vorübergehende Abhilfe bereitgestellt.

Bei diesem Zero-Day-Exploit handelt es sich um eine Remote-Code-Execution-Schwachstelle (RCE) in MSHTML, Microsofts proprietärer Browser-Engine von für den Internet Explorer. Die Angreifer betten schadhafte ActiveX-Steuerelemente in Microsoft Office-Dokumente ein, um die Schwachstelle in der Browser-Rendering-Engine auszunutzen. Öffnen die potenziellen Opfer die schadhaften Dokumente, können die Angreifer in das Unternehmensnetzwerk gelangen.

Obwohl Microsoft erklärt hat, dass Office Dokumente aus dem Internet in der geschützten Ansicht oder im Application Guard for Office öffnet, die beide diesen aktuellen Angriff verhindern, ist der RTF-Angriffsvektor immer noch offen für eine Ausnutzung. Angreifer können mehrere Umgehungsmöglichkeiten für die geschützte Ansicht nutzen. Unabhängig davon sollten Administratoren sicherstellen, dass die geschützte Ansicht aktiviert ist.

Trend Micro hat festgestellt, dass Angreifer Cobalt-Strike-Beacons verteilen, nachdem sie diese Schwachstelle ausgenutzt haben. LogPoint-Kunden erfahren in unserem Blog-Beitrag „So erkennen Sie verdeckte Cobalt Strike-Aktivitäten in Ihrem Unternehmen“ mehr zu diesem Thema.

So erkennen Sie diesen Zero-Day-Exploit mit LogPoint

Die erfolgreiche Ausnutzung der Zero-Day-Schwachstelle über Office-Dokumente führt dazu, dass Office die Datei control.exe erzeugt. Analysten können dies in den Events zur Prozesserzeugung erkennen.

label="Process" label=Create
"process"="*\control.exe" parent_process IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"]-command="*\control.exe input.dll"

Administratoren können verdächtige Domänen, die von Office angesprochen werden, mithilfe der Registry-Events in Sysmon genauer unter die Lupe nehmen. LogPoint-Kunden können auf unsere Sysmon-Basiskonfiguration zurückgreifen, um vergleichsweise harmlose sowie komplexe Bedrohungen zu erkennen.

norm_id=WindowsSysmon event_id=13
image IN ["*\winword.exe", "*\excel.exe", "*\powerpnt.exe"]target_object="*\EnableBHO"

Microsoft hat erklärt, dass sowohl Microsoft Defender Antivirus als auch Microsoft Defender for Endpoint schadhafte Dateien erkennen, solange die Definitionen aktuell sind. Unternehmen, die nur Microsoft Defender for Endpoint verwenden, sollten sicherstellen, dass ihre EDR-Lösungen im Blockieren-Modus arbeiten.

label=Threat label=Detect threat="TrojanDownloader:O97M/Donoff.SA"

Wir empfehlen Administratoren, einen unternehmensweiten IoC-Sweep durchzuführen, um zu prüfen, ob ihr Unternehmen Ziel eines Angriffs geworden ist.

(domain IN ["joxinu.com", "hidusi.com", "dodefoh.com", "macuwuf.com"]OR query IN ["joxinu.com", "hidusi.com", "dodefoh.com", "macuwuf.com"])

Diese schwerwiegende Schwachstelle erfordert eine proaktive Bedrohungssuche

Die Suche nach Post-Exploitation-Aktivitäten ist eine Möglichkeit für Unternehmen, eine mögliche Ausnutzung von Zero-Day-Schwachstellen in ihrer IT-Umgebung aufzudecken. Diese Schwachstelle ist jedoch sehr schwerwiegend Wir gehen davon aus, dass Angreifer sie noch lange Zeit intensiv nutzen werden. Da noch kein Patch zur Verfügung steht und Angreifer die Abwehrmaßnahmen umgehen können, sollten die Security-Teams in den Unternehmen wachsam bleiben und proaktiv nach Bedrohungen in ihrem Netzwerk suchen.