Microsoft zei dat het een beperkt aantal aanvallen heeft geïdentificeerd die gericht zijn op een kwetsbaarheid voor het uitvoeren van externe code in MSHTML die Microsoft Windows treft.
CISA heeft zijn eigen bericht uitgebracht waarin hij er bij gebruikers en organisaties op aandringt om de mitigaties en oplossingen van Microsoft te herzien om CVE-2021-40444, een kwetsbaarheid voor het uitvoeren van externe code in Microsoft Windows, aan te pakken.
Microsoft zei dat het beveiligingslek voor het eerst werd ontdekt door Rick Cole van het Microsoft Security Response Center, Haifei Li van EXPMON en Dhanesh Kizhakkinan, Bryce Abdo en Genwei Jiang van Mandiant.
“Microsoft is op de hoogte van gerichte aanvallen die proberen dit beveiligingslek te misbruiken met behulp van speciaal vervaardigde Microsoft Office-documenten. Een aanvaller kan een kwaadaardig ActiveX-besturingselement creëren dat kan worden gebruikt door een Microsoft Office-document dat als host fungeert voor de browserweergave-engine”, legt Microsoft uit.
“De aanvaller zou dan de gebruiker moeten overtuigen om het schadelijke document te openen. Gebruikers van wie de accounts zijn geconfigureerd om minder gebruikersrechten op het systeem te hebben, kunnen minder worden beïnvloed dan gebruikers die met beheerdersrechten werken.”
De Microsoft-release merkt op dat hun Defender Antivirus en Defender for Endpoint beschermen tegen het beveiligingslek. Iedereen die over de tools beschikt en automatische updates gebruikt, is veilig voor het beveiligingslek, terwijl ze opmerkten dat zakelijke klanten die updates beheren “de detectieversie 1.349.22.0 of nieuwer moeten selecteren en deze in hun omgevingen moeten implementeren.”
De waarschuwingen in Microsoft Defender worden weergegeven als “Verdachte Cpl-bestandsuitvoering.”
Microsoft zei dat zodra het onderzoek is voltooid, ze een beveiligingsupdate zullen verzenden in een release van Patch Tuesday of in een afzonderlijke beveiligingsupdate buiten de cyclus.
De release voegt eraan toe dat Microsoft Office documenten van internet standaard opent in Protected View of Application Guard for Office, die beide de huidige aanval voorkomen.
In termen van oplossingen en tijdelijke oplossingen, stelde Microsoft voor om de installatie van alle ActiveX-besturingselementen in Internet Explorer uit te schakelen.
“Dit kan voor alle sites worden bereikt door het register bij te werken. Eerder geïnstalleerde ActiveX-besturingselementen blijven actief, maar stellen deze kwetsbaarheid niet bloot”, aldus de release. “Als u de Register-editor onjuist gebruikt, kunt u ernstige problemen veroorzaken die ertoe kunnen leiden dat u uw besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat u problemen kunt oplossen die het gevolg zijn van onjuist gebruik van de Register-editor.”
De kennisgeving bevat ook specifieke instructies voor het uitschakelen van ActiveX-besturingselementen op een afzonderlijk systeem.
Mandiant-bedreigingsanalist Andrew Thompson merkte op dat “robuuste detecties gericht op post-exploitatiegedrag een vangnet vormen waarmee u inbraken met zero-day-exploitatie kunt detecteren.”
Beveiliging
T -Mobiele hack: alles wat je moet weten Surfshark VPN review: het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA De ransomware-dreiging groeit: wat moet er gebeuren om te voorkomen dat aanvallen erger worden? (ZDNet YouTube)
Verwante onderwerpen:
Beveiliging Enterprise Software Windows Windows 10 Samenwerking Cloud 