[Update 14.09.]: Microsoft hat die CVE-2021-40444 mit dem September 2021 Patchday behoben. Bspw. durch die KB5005565 Windows 10 1904x.1237, bzw. KB5005633 Windows 7.
Microsoft hat gestern eine Schwachstelle in soweit allen Windows und Server Versionen veröffentlicht (CVE-2021-40444). Dabei geht es um eine Remotecodeausführung in MSHTML, die über speziell gestaltete Microsoft Office-Dokumente ausgeführt werden können.
Microsoft selber sind Exploits schon bekannt und hat dafür bislang einen Workaround bereitgestellt, den wir schon kennen. Denn es betrifft die ActiveX Elemente im Internet Explorer.
„Ein Angreifer könnte ein bösartiges ActiveX-Steuerelement so gestalten, dass es von einem Microsoft Office-Dokument verwendet wird, das die Browser-Rendering-Engine hostet. Der Angreifer müsste dann den Benutzer dazu bringen, das bösartige Dokument zu öffnen. Benutzer, deren Konten so konfiguriert sind, dass sie weniger Benutzerrechte auf dem System haben, könnten weniger betroffen sein als Benutzer, die mit administrativen Benutzerrechten arbeiten.“
Microsoft schlägt vor, die ActiveX-Steuerelemente auf einem einzelnen System zu deaktivieren, bis es einen Patch von Microsoft selber gibt.
- Eine Textdatei erstellen und diese Zeilen hineinkopieren. Danach Neue Textdatei.txt in ActiveX.reg. umbenennen.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] "1001"=dword:00000003 "1004"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1001"=dword:00000003 "1004"=dword:00000003
Danach die neue reg-Datei per Doppelklick starten und den Anweisungen folgen.
„Dies setzt die URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) und URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) für alle Internetzonen für 64-Bit- und 32-Bit-Prozesse auf DISABLED (3). Neue ActiveX-Steuerelemente werden nicht installiert. Zuvor installierte ActiveX-Steuerelemente werden weiterhin ausgeführt.“
Danke für die Info!
Da ich Microsoft Office nicht verwende, brauche ich mir dann ja keine Gedanken zu machen.
Ist das so?
Den Internet Explorer habe ich schon lange runtergeschmissen.
hi,
> Den Internet Explorer habe ich schon lange runtergeschmissen.
suche mal nach C:\Windows\System32\ieframe.dll
der „Internet Explorer“ war die App und IEFRAME.DLL ist die „Engine“ welche es auch unter Windows 11 noch gibt und sich ansprechen lässt.
—
Da der alte EDGE keine Schnittstelle hatte basieren die Apps noch auf IEFRAME.DLL um das „Webbrowser“ Interface zu nutzen.
der neue EDGE mit der „Chromium“ Engine hat nun WebView2 als Interface
aber es wird noch einige Zeit dauern bis alle Apps das WebView2 Interface nutzen … so lange wie „Webbrowser“ funktioniert …
Danke für die Info
habe ich direkt gemacht und mein PC neugestartet.
Ihr seit einfach Super
Super Danke eben erledigt Top!!!!!
Da es unter policies ist, gibt es dafür keine admx settings?
gepostet mit der Deskmodder.de-App für Android
Hier ein Link auf die entsprechenden GPOs:
https://www.heise.de/forum/heise-online/Kommentare/Attacken-auf-Windows-Vorsicht-vor-praeparierten-Office-Dokumenten/Hier-die-entsprechenden-Gruppenrichtlinien/posting-39585277/show/
Hier, kannst Du dich austoben.
Administrative Vorlagen (Computer)
Windows-Komponenten
Internet Explorer
Internetsystemsteuerung
Sicherheitsseite
Vorlage für Zone des lokalen Computers
Vorlage für Zone eingeschränkter Sites
Vorlage für Zone vertrauenswürdiger Sites
Dort ist es möglich die Sicherheitsstufe für die Sicherheitszonen zu definieren, in Falle des genannten Workaround ist hier nur die Möglichkeit diese zu aktivieren und die Option hoch zu wählen. Setzt dann aber alle anderen Funktionen auch auf hoch.
gepostet mit der Deskmodder.de-App
Wie kann man die Wirksamkeit des Reg-Fix prüfen?
Hat man durch die (Reg Datei) irgendwelche Nachteile?
Zitat (Microsoft): „How to undo the workaround
Delete the registry keys that were added in implementing this workaround.“
Unter [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings] wurde bei mir nun ein neuer „Ordner“ Zones mit 4 „Unterordnern“ (0,1,2,3) angelegt.
Löscht man dann irgendwann nur die darin enthaltenen Schlüssel oder gleich den ganzen „Ordner“ Zones?
Der Ordner Zones existiert normalerweise nicht. Also kannst du gleich den kompletten „Ordner“ entfernen.
Vielen Dank!
Anders gefragt: Wie müsste eine entsprechende .reg aussehen, um alles wieder automatisch rückgängig zu machen?
Und angenommen, Microsoft liefert dafür einen Patch: Wird dann zuerst der Patch installiert oder sollte man erst die Änderungen durch die ursprüngliche .reg-Datei rückgängig machen?
Ich vermute mal, wenn wären es diese Regeinträge im Patch.
Leider sind die Ms-Fixes unvollständig und helfen nicht ganz.
MS hat das Advisory am 9.9. ergänzt: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
Ob das wirklich hilft? wenn es nach Sicherheitsforschern geht: Nein.
https://twitter.com/wdormann/status/1435951560006189060
https://twitter.com/GossiTheDog/status/1435570418623070210
ActiveX ist beim IE/Explorer schon über Jahrezehnte suspekt/unsicher gewesen und trug auch ab und an bei Kunden zu Infektionen derer Büro-PCs bei.
Zitat: „[Update 14.09.]: Microsoft hat die CVE-2021-40444 mit dem September 2021 Patchday behoben. Bspw. durch die KB5005565 Windows 10 1904x.1237, bzw. KB5005633 Windows 7.“
Hmmm… die entsprechenden Registry-Einträge, die durch den Microsoft-Workaround (Deaktivierung der ActiveX-Steuerelemente auf einem einzelnen System) generiert worden waren, wurden nun aber nicht automatisch mit Installation des Rollups KB5005633 entfernt…..
Andere User hingegen berichten, dass sie bei manchen Versionen von Windows verschwinden (oder eben nicht): https://www.borncity.com/blog/2021/09/15/patchday-windows-10-updates-14-september-2021/#comments