Patch me if you can: Microsoft kann kritische Sicherheitslücke nicht schließen
von Tina Siering
Die MS Office Schwachstelle CVE-2021-40444
Bei dem MS Office Exploit CVE-2021-40444 handelt es sich um eine Lücke in MSHTML, die es erlaubt, Schadcode auf einem anderen Computer auszuführen. Der Code gelangt über manipulierte Office-Dokumente auf die Zielcomputer, beispielsweise per E-Mail oder einen Download.
Die Schwachstelle selbst ist nicht direkt in Microsoft Office vorhanden, sondern in einer Komponente, die ursprünglich zum Internet Explorer gehörte. Office nutzt die Engine des Browsers nach wie vor intern für bestimmte Funktionen. In diesem Fall geht es um die Ausführung von Active-X-Steuerelementen, wie sie auch in Webseiten vorkommen. Solche Active-X-Steuerelemente kommen in Form von Makros in der Office-Umgebung zum Einsatz.
Kriminelle und Hacker nutzen Active-X-Steuerelemente gerne, um einen Schadcode einzubauen. Dieser Schadcode nutzt dann die Schwachstelle, die dem Hacker bekannt ist, gezielt aus. In diesem Fall ermöglicht der Code das Nachladen von Malware auf das System, auf dem das Office-Dokument geöffnet wurde. Auf diese Weise leitet der Angriff über den MS Office Exploit CVE-2021-40444 weitere Cyberattacken ein, beispielsweise einen Datendiebstahl oder Erpressungen mit einer Verschlüsselung der Daten via Ransomware.
Bei dem hier vorliegenden MS Office Exploit CVE-2021-40444 haben Kriminelle manipulierte Office-Dokumente vor allem via Mail verschickt. Dabei sind die Angreifer in vielen Fällen sehr gezielt vorgegangen und haben beispielsweise dem Empfänger bekannte Mail-Adressen als Absender genutzt. Das erhöht in der Regel die Chance, dass der Empfänger der Nachricht vertraut und den Anhang öffnet. Das bloße Öffnen eines manipulierten Dokuments reicht aus, sofern die automatische Ausführung von Active-X-Steuerelementen in Microsoft Office nicht deaktiviert ist.
So hat Microsoft versucht, die Sicherheitslücke zu schließen
Bei dem Exploit CVE-2021-40444 handelte es sich um eine Zero-Day-Lücke. Das bedeutet, dass Angreifer die Lücke bereits aktiv ausgenutzt haben, bevor ein MS Office Patch zur Verfügung stand. Aus diesem Grund und weil die Sicherheitslücke enormes Schadenspotenzial hat, wurde CVE-2021-40444 von Microsoft als kritisch eingestuft.
Mit dem Patch vom 14. September 2021 versuchte Microsoft, die Sicherheitslücke zu schließen. Dabei analysierte der US-Softwareriese den Angriffsweg und blockierte die Ausführung einer Microsoft Cabinet (.CAB)-Datei, die Teil des speziellen Angriffsvektors war. Das betroffene Modul mit der eigentlichen Schwachstelle, die Browser-Komponente für MSHTML, blieb hingegen unberührt und somit weiterhin aktiv.
Im ersten Moment unterband diese MS Office Patch den Angriffsweg, denn die Funktion des Nachladens über die Microsoft Cabinet Datei war nicht mehr möglich.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Hacker überwinden den MS Office Patch für die Schwachstelle CVE-2021-40444
Bereits im Oktober 2021 waren die ersten Anzeichen zu sehen, dass die Hacker auf den Fix von Microsoft reagiert haben. Dabei haben die Kriminellen ganz offensichtlich entdeckt, dass die MS Office Schwachstelle auch auf einem anderen Weg auszunutzen ist.
Dabei umgehen die Angreifer den nun blockierten Angriffsvektor über die Microsoft Cabinet Datei. Stattdessen greifen die Hacker auf ein Programm für die Datenkompression zurück und nutzen einen Umweg, um den Schadcode auf das System zu bringen.
Auch in diesem Fall erhält das ausgewählte Opfer eine E-Mail mit einem manipulierten Anhang. Diesmal handelt es sich jedoch nicht um ein Word-Dokument, sondern um ein RAR-Verzeichnis. RAR ist eine Kompressionsmethode. Eigenständige Programme wie WinRAR nutzen diese Technik, um komprimierte Dateien mit der eigenen Dateiendung .RAR zu erzeugen. In einem solchen Archiv sind dann einzelne oder auch mehrere Dateien platzsparend komprimiert, was das Verschicken erleichtert. Die Software erlaubt außerdem die Erzeugung von selbst entpackenden Archiven. Um diese Archive zu öffnen und zu entpacken ist es nicht notwendig, die eigentliche Software installiert zu haben.
Die manipulierten .RAR-Archive gehören genau zur Klasse dieser selbst entpackenden Dateien. Der Nutzer öffnet also die .RAR-Datei auf seinem Rechner, um an den Inhalt zu gelangen. Jedoch ist dieses Archiv selbst manipuliert. Ein Script ist in den Header des Archivs integriert. Dieses führt die Software bei der Ausführung automatisch aus. Das Script öffnet Microsoft Office sowie das angehängte Dokument. Hier ist weiterhin das bereits bekannte Active-X-Steuerelemente enthalten. Anstatt jedoch nun den direkten Weg über Microsoft Office zu nehmen, initiiert das Script aus dem Archiv den Download der Malware über das RAR-Archiv. Von hier öffnet das Script die PowerShell des Betriebssystems und führt die soeben heruntergeladene Schadsoftware aus. Der Angriff ist erfolgreich beendet und das System, trotz MS Office Patch für die Schwachstelle CVE-2021-40444, kompromittiert.
Was sagen Sicherheitsexperten zu dem neuen Angriffsvektor im Zusammenhang mit der MS Office Schwachstelle CVE-2021-40444?
Nach der Analyse des veränderten Angriffsverhaltens kommen IT-Sicherheitsexperten zu dem Schluss, dass Microsoft eine Teilverantwortung trägt. Der MS Office Patch aus dem September für die Lücke CVE-2021-40444 hatte einen zu engen Fokus auf das spezifische Angriffsmuster. Dementsprechend verhinderte der Patch zwar einen bestimmten Weg, die Sicherheitslücke in Microsoft Office auszunutzen, adressierte hingegen nicht den eigentlichen Exploit. Es handelt sich somit um einen Workaround, der über kurz oder lang von den Hackern überlistet wird. Dies ist den Cyberkriminellen offensichtlich recht schnell gelungen.
Diese Maßnahmen bieten Schutz vor der aktuellen MS Office Schwachstelle
Die eigentliche Schwachstelle bei diesen Angriffen ist das manipulierte Active-X-Steuerelement in dem Office-Dokument. Die Angreifer benötigen an zwei Stellen die aktive Mithilfe der Opfer. Ohne diese Unterstützung gehen von den manipulierten Nachrichten keine Gefahren aus.
Aus diesem Grund ist es wichtig, als Nutzer die Schwachstellen zu kennen und entsprechend präventiv zu agieren. Für Unternehmen bedeutet dies, dass eine Sensibilisierung der Mitarbeitenden unumgänglich ist. Der erste Punkt betrifft das Herunterladen und Öffnen von E-Mail-Anhängen. Diese dürfen Mitarbeitende nur öffnen, wenn der Absender absolut vertrauenswürdig ist und die Quelle des Dokuments bekannt ist. Der zweite Punkt involviert die eigene IT und die Einstellungen im Netzwerk. So ist es wichtig, die Ausführung von Active-X-Steuerelementen in Microsoft Office standardmäßig zu deaktivieren. Ist diese Funktion abgeschaltet, kann das manipulierte Dokument den Download der Schadsoftware nicht starten, denn dieser Befehl ist in dem Active-X-Steuerelement versteckt.
Eine weitere Option ist es, auf den Einsatz von Microsoft Office zu verzichten. Die Schwachstelle ist explizit mit einer Komponente verbunden, die nur in der Software von Microsoft vorhanden ist. Alternative Office-Suiten, wie etwa Open Office oder LibreOffice, verfügen nicht über die Schwachstelle. Somit lassen sich auch die manipulierten Office-Dokumente in diesen Programmen öffnen, ohne dass eine Gefahr von den manipulierten Active-X-Steuerelementen ausgeht. Wer hingegen auf den Einsatz von Microsoft Office angewiesen ist, für den ist dieser Workaround keine Lösung.
Leider ist es so, dass sich der Risikofaktor Mensch niemals vollständig eliminieren lässt. Es kommt immer wieder vor, dass ein Nutzer einen Mail-Anhang wieder besseren Wissens öffnet oder die Ausführung von Active-X-Steuerelementen zulässt, wenn Microsoft Office beim Ausführen einer manipulierten Datei danach fragt. Dann sind Systeme und Netzwerke erneut in Gefahr. Gerade Unternehmen sind deshalb in der Pflicht, Maßnahmen zu ergreifen, um eine proaktive Bedrohungssuche zu implementieren. Dies wird mithilfe von Softwarelösungen umgesetzt, die in Echtzeit die Aktivitäten im Netzwerk überwachen. In diesem Fall setzt eine proaktive Bedrohungssuche an dem Punkt an, an dem das Active-X-Steuerelement den Download der Schadsoftware einleitet. Eine Sicherheitssoftware, die Aktivitäten im Netzwerk überwacht, erkennt einen solchen Download als potenziell schädliche Aktion. Dann erhält die IT eine Warnung und es gibt die Möglichkeit, zeitnah einzugreifen. So lässt sich ein Cyberangriff frühzeitig eindämmen, bevor die Hacker sich im Netzwerk ausbreiten. Diese Abwehrtechnik funktioniert nicht nur im Falle der Office Schwachstelle CVE-2021-40444, sondern auch bei allen anderen verdeckten Angriffen innerhalb des eigenen Netzwerks.
Fazit zur MS Office Schwachstelle CVE-2021-40444
Die Entwicklung rund um den Exploit CVE-2021-40444 in Microsoft Office ist stellvertretend für viele aktuelle Herausforderungen in der IT-Sicherheit. Das zeigt sich direkt auf mehreren Ebenen. Da ist zunächst die Gefahr durch Sicherheitslücken, die aus unterschiedlichsten Richtungen drohen. Moderne Software ist extrem komplex, wie das Beispiel von Office zeigt, da Komponenten anderer Programme integriert sind, die dann wiederum die eigentliche Schwachstelle aufweisen. Die moderne IT-Infrastruktur baut dazu auf enorm vielen Softwareplattformen auf, was das Gefahrenpotenzial deutlich erhöht.
Ein zweiter Punkt ist die Herausforderung für Unternehmen, ihre Netzwerke gegen alle potenziellen Gefahren abzusichern. Selbst bei einer perfekten Patch-Strategie sind Cybergefahren nicht vollständig auszuschließen, da Zero-Day-Exploits jederzeit eine Bedrohung darstellen, für die es keinen traditionellen Schutz gibt. Abschließend ist auch der Faktor Mensch wieder ein Thema. Auch wenn die Sicherheitslücken sowie die Angriffsvektoren bis ins letzte Detail bekannt und die eigenen Mitarbeitenden sensibilisiert sind, lassen sich erfolgreiche Attacken auf diesem Weg nie komplett ausschließen.
Alle diese Punkte zeigen auf, dass die herkömmliche Herangehensweise in der IT-Sicherheit eine große Lücke aufweist. Dies ist die aktive Suche nach Bedrohungen sowie die Angriffsfrüherkennung. Diese Taktik der Cyberverteidigung sucht nach Mustern, die auf illegale Aktivitäten im Netzwerk hindeuten. Auf diese Weise ist die Suche nach Aktionen von Hackern nicht auf eine bestimmte Malware fokussiert, sondern viel mehr auf Verbindungen, Datentransfers und Anmeldungen, also alltägliche Aktionen in einem Netzwerk. Solche Systeme zur Angriffsfrüherkennung schließen die Lücken, die Antivirensoftware, Firewalls und Sicherheitsrichtlinien nicht decken.
Der Active Cyber Defense Service (ACD) von secion ist eine solche Dienstleistungslösung. secion stellt diesen Service über das Netzwerk bereit. Eine lokale Installation oder Veränderungen an den Systemen sind somit nicht notwendig. Der ACD Service von secion kontrolliert alle Systeme innerhalb eines Netzwerks, von Datenbanken über Dienste für die Authentifizierung bis hin zu IoT-Geräten am Rande des Netzwerks und meldet identifizierte Anomalien. Das secion Analystenteam informiert bei Bedarf unverzüglich die zuständigen Personen in der IT Security des betreffenden Unternehmens. Auf diese Weise ist eine Aufdeckung von Angriffen nahezu in Echtzeit möglich, bevor Schaden entsteht - und ohne dass enorme Investitionen in der eigenen IT-Abteilung notwendig sind.