Aktuell läuft eine Angriffswelle per Email: Mithilfe alter ActiveX-Elemente erzeugen böswillige Angreifer manipulierte Microsoft-Office-Dokumente, die Code aus der Ferne ausführen können. Hier soll kurz erklärt werden, wie man sich dagegen absichern kann:

Microsoft informiert seine Kunden aktuell über eine Sicherheitslücke in der eigenen veralteten und proprietären Browser-Engine MSHTML. Diese Engine wird in dem ja schon obsoleten Internet Explorer noch immer verwendet.

Die Schwachstelle könnte aber auch Nutzer betreffen, die diesen Browser nicht mehr nutzen. Dabei betrifft die als wichtig eingestufte Lücke, die eine Remote Code Execution erlaubt, alle aktuellen Windows-Betriebssysteme.

Dazu erstellen die Angreifer ein präpariertes ActiveX-Element und bauen das in ein Microsoft-Office-Dokument ein. “Microsoft ist sich gezielten Angriffen bewusst, die diese Schwachstelle ausnutzen sollen, indem sie speziell angefertigte Microsoft-Office-Dokumente verwenden”, schreibt das Unternehmen dazu in seiner Ankündigung. Die Sicherheitslücke wurde schon unter der Nummer CVE-2021-40444 aufgenommen und wird offenbar schon aktiv ausgenutzt.

Erste Hilfe: Registry-Einträge mindern das Problem

Die Komplexität des Angriffs ist laut Microsoft nicht besonders hoch. Es werden außerdem auch keine erhöhten Rechte oder andere spezielle Voraussetzungen benötigt, damit ein Angriff gelingt.

Microsoft arbeitet auch schon an einem offiziellen Fix für das Problem, der zum kommenden Patchday am nächsten Dienstag herauskommen soll. Bis dahin gibt der Hersteller den Tipp, ActiveX-Kontrollelemente sichjerheitshalber einfach komplett auszuschalten.

Das läßt sich mittels Registryeinträgen realisieren. Die verhindern, dass auf den Rechnern weitere ActiveX-Elemente installiert werden können. Bereits installierte Elemente werden dann aber weiterhin ausführbar sein. Microsoft veröffentlicht die notwendigen Einträge in der Security-Meldung:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
“1001”=dword:00000003
“1004”=dword:00000003

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
“1001”=dword:00000003
“1004”=dword:00000003

Diese Registryeinträge müssen Sie als .reg-Dokument speichern und können sie dann einfach mit einem Doppelklick der Registry hinzufügen. Danach macht ein Systemneustart die Einstellungen wirksam.

290