DarkSide Ransomware Gang
9. September 2021
Hallo Welt!
25. September 2021DarkSide Ransomware Gang
9. September 2021Hallo Welt!
25. September 2021
SentinelOne informiert über Remote Code Execution in MSHTML
Am 7. September 2021 veröffentlichte das Microsoft Security Response Center (MSRC) ein Advisory zu einer Remote Code Execution in der MSHTML-Engine und bezeichnete die Schwachstelle als CVE-2021-40444.
Microsoft weiß auch von gezielten Angriffen, die versuchen, diese Sicherheitslücke in freier Wildbahn auszunutzen. Die Sicherheitslücke kann von einem entfernten Angreifer ausgenutzt werden, der ein speziell gestaltetes MS OFFICE-Dokument fälscht und die Aktivierung eines entfernten ActiveX-Objekts ausnutzt.
Die Schwachstelle erfordert keine Benutzerinteraktion über die anfängliche Aktivierung hinaus – es genügt, wenn ein Opfer auf das bösartige Dokument klickt.
Aus diesem Grund wird CVE-2021-40444 mit einem CVSS:3.0-Score von 8.8 bewertet, was sehr hoch ist.
Der Patch für CVE-2021-40444, der noch untersucht wird, wurde zum Zeitpunkt der Erstellung dieses Berichts noch nicht von Microsoft veröffentlicht.
Microsoft empfiehlt, die Installation von ActiveX-Steuerelementen im Internet Explorer in allen Zonen zu deaktivieren.
Die Kernlogik des Exploits beruht auf der Aktivierung eines ActiveX-Objekts, das in einem Word-Dokument gerendert wird, welches über eine entfernte Webseite bereitgestellt wird. Darüber hinaus erfolgt die Ausführung der endgültigen Nutzlast durch die “Cpl File Execution”-Technik, mit der der Prozess “control.exe” gestartet wird. Die Beziehungen zwischen den durch den Exploit erzeugten Prozessen können als Indikator für bösartiges Verhalten verwendet werden.
SentinelOne Agent schützt gegen Post-Exploitation-Versuche dieser CVE.
SentinelOne Kunden können SentinelOne Deep Visibility und/oder STAR Active Response-Regeln verwenden, um potenzielle Ausnutzungsversuche dieser Sicherheitslücke zu erkennen:
EndpointOs = “windows” AND EventType = “Process Creation” AND TgtProcName Contains Anycase “rundll32.exe” AND SrcProcName Contains Anycase “control.exe” AND SrcProcParentName Contains Anycase “winword.exe” AND TgtProcCmdLine Contains Anycase “Shell32.dll” AND TgtProcCmdLine Contains Anycase “Control_RunDLL” AND TgtProcCmdLine Contains Anycase “.cpl:”
EndpointOS = “windows” AND SrcProcName In AnyCase ( “winword.exe” ) AND SrcProcCmdLine RegExp
“(.*\\Content\.Outlook.*|.*MSO\.*|.*\\Temp.*|,*\\Downloads\\,*)” AND modulepath containsCIS “MSHTML” AND NOT SrcProcCmdLine RegExp “(.*/cid.*)”
Im Falle einer Übereinstimmung wenden Sie sich gerne an uns, um Unterstützung zu erhalten!
