Wachten op Windows-patches: DIY-instructies voor MSHTML-exploit in omloop


Aangezien er geen beveiligingspatches zijn voor een beveiligingslek in Windows waar aanvallers zich momenteel op richten, adviseert Microsoft beheerders om systemen te beveiligen met tussenoplossingen. Maar volgens beveiligingsonderzoekers beschermen deze niet betrouwbaar. De situatie wordt verergerd door exploitcode aan te bieden op hackerforums.

Aanvallers proberen momenteel Windows-pc’s te infecteren met kwaadaardige code met behulp van voorbereide Office-documenten. Door een beveiligingslek (CVE-2021-40444 “hoog“) in de HTML-rendering-engine MSHTML van Windows zou een Trojaans paard op systemen kunnen komen na het openen van dergelijke documenten. Een beveiligingspatch voor Windows 8.1 tot 10 en Windows Server 2008 tot 2019 is nog niet beschikbaar en zal hoogstwaarschijnlijk deze week op Patchday worden uitgebracht .

Na het openen van voorbereide Office-documenten zorgen ActiveX-besturingselementen ervoor dat schadelijke code op computers terechtkomt. Om dat te voorkomen, Microsoft adviseert beheerders dit te doen in een waarschuwingsberichtActiveX voor Internet Explorer uitschakelen. Later bleek dat zo’n aanval ook getriggerd kan worden via de document preview in Windows Verkenner. Microsoft heeft de Waarschuwingsbericht Nog een oplossing toegevoegd om ActiveX in Verkenner te deactiveren.

Ondertussen melden echter beveiligingsonderzoekersdat dergelijke aanvallen ook mogelijk moeten zijn zonder ActiveX. Hoe dit in detail werkt, is op dit moment niet bekend. Volgens Microsoft is het beveiligingsmechanisme van Office voor het openen van bestanden van onbekende bronnen in de veilige modus ontworpen om te beschermen tegen dergelijke aanvallen. Een aanval kan alleen succesvol zijn als een slachtoffer verwerking toestaat.

Als Office bijvoorbeeld Word-documenten van internet wil openen in de veilige modus, moeten de bestanden zijn gemarkeerd als Mark of the Web (MoTW). Dit is meestal het geval bij het rechtstreeks downloaden van Office-documenten. Als een dergelijk document echter in een archief wordt gevonden, wordt de MoTW-markering niet gegeven en werkt het beveiligingsmechanisme niet, waarschuwen beveiligingsonderzoekers. Bovendien zouden aanvallen ook moeten werken met voorbereide RTF-documenten, waarvoor Veilige modus niet van toepassing is.

Volgens berichten op een hackerforum hebben de aanvallers hun exploit al geoptimaliseerd. Er is ook een relatief eenvoudige stapsgewijze handleiding voor het maken van uw eigen payload voor aanvallen. Dat zou kunnen betekenen dat veel freeriders Windows over het gat aanvallen.

Volgens beveiligingsonderzoekers zouden antivirusscanners zoals Microsoft Defender de huidige exploit moeten detecteren en blokkeren. De aanvallers kunnen hun code op elk moment aanpassen, zodat de fabrikanten van antivirussoftware als eerste moeten volgen.


(van)





Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: