Sicherheitslücke in Windows und Windows Server die eine Remotecodeausführung in MSHTML ermöglicht [Update]

[Update 14.09.]: Microsoft hat die CVE-2021-40444 mit dem September 2021 Patchday behoben. Bspw. durch die KB5005565 Windows 10 1904x.1237, bzw. KB5005633 Windows 7.

Microsoft hat gestern eine Schwachstelle in soweit allen Windows und Server Versionen veröffentlicht (CVE-2021-40444). Dabei geht es um eine Remotecodeausführung in MSHTML, die über speziell gestaltete Microsoft Office-Dokumente ausgeführt werden können.

Microsoft selber sind Exploits schon bekannt und hat dafür bislang einen Workaround bereitgestellt, den wir schon kennen. Denn es betrifft die ActiveX Elemente im Internet Explorer.

„Ein Angreifer könnte ein bösartiges ActiveX-Steuerelement so gestalten, dass es von einem Microsoft Office-Dokument verwendet wird, das die Browser-Rendering-Engine hostet. Der Angreifer müsste dann den Benutzer dazu bringen, das bösartige Dokument zu öffnen. Benutzer, deren Konten so konfiguriert sind, dass sie weniger Benutzerrechte auf dem System haben, könnten weniger betroffen sein als Benutzer, die mit administrativen Benutzerrechten arbeiten.“

Microsoft schlägt vor, die ActiveX-Steuerelemente auf einem einzelnen System zu deaktivieren, bis es einen Patch von Microsoft selber gibt.

  • Eine Textdatei erstellen und diese Zeilen hineinkopieren. Danach Neue Textdatei.txt in ActiveX.reg. umbenennen.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003

Danach die neue reg-Datei per Doppelklick starten und den Anweisungen folgen.

„Dies setzt die URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) und URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) für alle Internetzonen für 64-Bit- und 32-Bit-Prozesse auf DISABLED (3). Neue ActiveX-Steuerelemente werden nicht installiert. Zuvor installierte ActiveX-Steuerelemente werden weiterhin ausgeführt.“

Sicherheitslücke in Windows und Windows Server die eine Remotecodeausführung in MSHTML ermöglicht [Update]
weitere Artikel zu diesem Thema
zu den aktuellen News

17 Kommentare zu “Sicherheitslücke in Windows und Windows Server die eine Remotecodeausführung in MSHTML ermöglicht [Update]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.