Allvarlig sårbarhet i MSHTML utnyttjas

Sårbarhet Microsoft

Microsoft har publicerat information och rekommendationer för att hantera en sårbarhet i MSHTML (CVE-2021-40444) som har fått CVSS-klassificering på 8,8 av 10. En fjärrangripare kan utnyttja sårbarheten genom att skapa skadlig ActiveX-kontroll inbäddad i Microsoft Office-dokument [1].

Utnyttjande av sårbarheten kan möjliggöra att fjärrangriparen tar kontroll över det sårbara systemet, men kräver att användaren övertygas att öppna det skadliga dokumentet. Både Microsoft Defender Antivirus och Microsoft Defender för slutanvändare detekterar och skyddar mot denna sårbarhet. Kunder uppmanas därför att hålla sina antivirusprogram uppdaterade.

Kunder som inte har automatisk uppdatering behöver undersöka och välja detekteringsversionen 1.349.22.0 eller nyare och distribuera den i it-miljön.

Uppdatering 2021-09-13

Sårbarheten kan även utnyttjas via rtf-filer i Microsoft Office [2] samt via den inbyggda förhandsvisningsfunktionen [3]. Om den skadliga filen extraherats så kan ursprungsfilen filen ligga lokalt, vilket innebör att vissa varningssystem inte detekterar att ett intrång skett. Hittills finns ingen workaround till detta.

Uppdatering 2021-09-23

Proof-of-concept-kod som kan utnyttja MSHTML-sårbarheten även om den senaste säkerhetsuppdateringen är installerad har upptäckts. För att kunna utnyttja sårbarheten behöver angriparen öppna ett skadligt dokument i en förutsägbar sökväg (exempelvis “Nedladdningar”). Hittills finns ingen workaround och CERT-SE manar därför till försiktighet när det gäller vilken typ av dokument man öppnar. [4]

Rekommendationer

CERT-SE rekommenderar att se till att antivirusprogramvara är uppdaterad. Sårbarheten kan även åtgärdas manuellt genom att deaktivera funktionen för installation av ActiveX-kontroller i Internet Explorer. Mer info finns hos Microsoft [1].

Källor

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

[2] https://twitter.com/GossiTheDog/status/1435570418623070210

[3] https://streamable.com/k4crm5

[4] https://github.com/Edubr2020/CVE-2021-40444–CABless