Hauptangriffsvektor für Malware sind geschickt getarnte Mailanlagen. Leider auch eine oft anzutreffe Praxis im Jahr 2021 sind noch immer offene Office-Dateien in Emails, die naiv und unbedarft durch die Gegend als Anlage verschickt werden.
Verhaltensänderungen sind schwierig und ich kenne leider zu viele Diskussionen mit den sogenannten “heiligen Kühen” in Unternehmen, wo behauptet wird, mit derart geblockten Office-Dateiformaten in Emails, nicht mehr arbeiten zu können. Ein entlarvendes Scheinargument! Wenn die digitale Kompetenz daran scheitert, ist es um diese nicht sehr gut bestellt.
Warum ich das schreibe? Aktuell grassiert mit CVE-2021-404441 seit einigen Tagen ein aktiv ausgenutzter Zero-Day in der Microsoft-Welt, again.
Diese Schwachstelle ist es wert, mit einem extra Blogbeitrag bedacht zu werden. Statt mit aktiven Inhalten in einem Office-Dokument in Gestalt von Makros oder anklickbaren Links, wird eine Malware direkt bei Programmstart geladen und ausgeführt2. Der Anwender kommt gar nicht mehr in das Dokument hinter das bekannte Word-Lade-Dialogfenster.
Zwar reagierte Microsoft mit einem Registry-Workaround und dem Heilsversprechen, das eigene Schlangenöl würde dieses erkennen. Doch ist wie vor zwei Monaten bei dem Sommernachts-Drucker-Alptraum3 dieser Workaround unvollständig und lässt sich trivial umgehen, wie der Sicherheitsforscher Kevin Beaumont in wenigen Tweets darlegt4.
For bonus points I just modified it to not need a new ActiveX control, which beats the MS work around. Took about a minute.
Ein paar Worte zur Funktionsweise: Ein Hacker erstellt auf Grundlage einer eigenen Dokumentenvorlage ein unscheinbares .docx Dokument, ganz ohne Makros oder Schadfunktionen. Sobald diese Datei gespeichert ist, manipuliert er am Office vorbei diese dahingehend, dass der lokale Pfad zur Vorlage durch eine URL auf einen von ihm kontrollierten Server ausgetauscht wird, wo die Vorlage mit Schadinhalt schlummert. Unter Zuhilfenahme vergammelter Internet-Explorer und ActiveX Technologie kann mit einem Mausklick so ein System übernommen werden. Die Ursachen liegen tiefer, die Behebung wird nicht so schnell und einfach sein, da es das grundlegenden Design von Windows-Komponenten in Anwendungen betrifft.
So rächt sich die zweifelhafte Praxis und das verantwortungslose Geschäftsgebahren von Microsoft. Denn obwohl es mit Zwangsinstallationen eines Windows5 oder einer Zwangs-Deinstallation von Flash-Plugins6 in der Vergangenheit wenig Hemmung hatte, beließ es den Internet-Explorer wie ein ausgesetztes, ungeliebtes Haustier am Strassentrand. Für die Anwender erweist sich das als tickende Zeitbombe.
Und hier schliesst sich der Kreis: Die beste und wirksamste Maßnahme gegen CVE-2021-40444 ist es, auf offene Office-Dateiformate in seinen Mailanlagen zu verzichten und diese sowohl in Mail-Gateways als auch an Internet-Proxies zu blocken. Die Extrameile gibt es mit über GPO aktivierten SRPs.
Wenn ein Mausklick eines Anwenders ausreicht, eine komplette IT-Infrastruktur “platzen” zu lassen dann stimmt etwas an der IT-Infrastruktur nicht. Dazu gehören aber auch Admins und IT-Verantwortliche mit “Arsch in der Hose”, auch unbequeme Dinge anzustoßen und Entscheidungen zu treffen.
Update vom 10.09.2021:
CVE-2021-40444 funktioniert auch außerhalb Office. Es reicht eine Vorschau im normalen Windows-Explorer7.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444 ↩︎
https://twitter.com/buffaloverflow/status/1435596990650503168#m ↩︎
https://blog.jakobs.systems/blog/20210630-window-drucker-dll/ ↩︎
https://twitter.com/GossiTheDog/status/1435570418623070210#m ↩︎
https://www.heise.de/newsticker/meldung/Microsoft-muss-Entschaedigung-fuer-Windows-10-Zwangsupdate-in-Finnland-bezahlen-4267570.html ↩︎