Windows zero-day MSHTML aanval – zorg dat je geen slachtoffer wordt

09 september 2021

Microsoft waarschuwt Office-gebruikers voor een bug die CVE-2021-40444 wordt genoemd. De bug wordt omschreven als de ‘Microsoft MSHTML Remote Code Execution Vulnerability’.

De bug heeft nog geen patch, dus het is wat bekend staat als een zero-day, steno voor “de ethische  hackers waren de niet-ethische hackers nul dagen voor met een patch voor deze kwetsbaarheid”. De kwetsbaarheid is ontdekt door EXPMON en Mandiant.

https://twitter.com/EXPMON_/status/1435309115883020296

Voor zover we weten werkt de kwetsbaarheid op de volgende manier:

  1. U opent een office bestand wat malafide code bevat, dit kan gebeuren via een phishing email welke een bijlage bevat die wordt gedownload. Ook kan dit gebeuren wanneer het slachtoffer een bestand download van een criminele website. 
  2. Het document bevat een ActiveX-besturingselement (embedded add-on code) dat geen onbeperkte toegang tot uw computer zou mogen hebben.
  3. De ActiveX-code activeert de Windows MSHTML-component, die wordt gebruikt om webpagina’s te bekijken. Het maakt vervolgens gebruik van een bug daarin om zichzelf dezelfde mate van controle te geven die u zelf zou hebben vanaf uw Windows-bureaublad, en gebruikt die om naar keuze van de aanvaller malware te implementeren.

MSHTML is geen volwaardige browser, zoals Internet Explorer of Edge, maar is een onderdeel van het besturingssysteem dat kan worden gebruikt om browsers of browser-achtige toepassingen te maken die HTML-bestanden moeten of willen weergeven.

Hoewel HTML het meest wordt geassocieerd met surfen op het web, vinden veel andere toepassingen dan browsers het nuttig om web inhoud te kunnen renderen en weergeven, bijvoorbeeld als een handige en goed uitziende manier om documentatie en bestanden te presenteren.

“HTML is niet alleen voor browsen”

Dit betekent dat bugs in HTML-rendering niet alleen van invloed zijn op uw browser en uw browseactiviteiten. Cybercriminelen kunnen niet alleen een onbetrouwbare weblink naar u sturen, maar ook een misleiding creëren in onbetrouwbare code voor webrendering, en zo kunnen ze zoeken naar exploits.

Zelfs als er een bug is die ze niet goed genoeg kunnen controleren, kunnen de cybercrimenelen in staat zijn om andere applicaties te vinden waarbij de kwetsbaarheid niet alleen kan worden gebruikt om de app te laten crashen, maar ook om de app te misbruiken om de controle over te nemen en malware te implanteren.

Dat is wat CVE-2021-40444 lijkt te doen, waarbij de aanval wordt uitgevoerd via Office-bestanden die in Word, Excel enzovoort worden geladen, in plaats van via webpagina’s die rechtstreeks in de browser worden bekeken.

Hoe kunt u zichzelf beschermen?

  • Kom niet in de verleiding om uit de beveiligde weergave te gaan. Standaard worden Office-documenten die via het internet worden ontvangen (hetzij via e-mail, hetzij via het web) geopend op een manier die voorkomt dat actieve inhoud zoals Visual Basic macro’s en ActiveX-besturingselementen worden uitgevoerd. Als u een gele balk bovenaan de pagina ziet, die u waarschuwt dat potentieel gevaarlijke delen van het document niet geactiveerd zijn, klik dan niet op de knop [Bewerken inschakelen].
  • Voorkom het openen van bestanden die u niet verwacht. Laat u niet verleiden tot het bekijken van inhoud, alleen omdat een e-mail of een document toevallig aansluit bij uw interesses, uw werk of uw huidige onderzoek. Dat bewijst niet dat de afzender u ook echt kent, of dat hij of zij op enige manier te vertrouwen is – die informatie is waarschijnlijk openbaar beschikbaar via de website van uw werk of uw eigen social media posts.
  • Overweeg om voor alle externe inhoud permanent Protected View in te schakelen. Systeembeheerders kunnen netwerk brede instellingen afdwingen die voorkomen dat iemand de optie [Bewerken toestaan] gebruikt om te ontsnappen uit de beveiligde weergave in Office.
  • ActiveX-besturingselementen uitschakelen die de MSHTML web renderer gebruiken. Systeem administratoren kunnen dit afdwingen met netwerk brede registerinstellingen die ervoor zorgen dat ActiveX-besturingselementen die in nieuwe documenten terechtkomen helemaal niet meer werken, ongeacht of het document in Beschermde weergave wordt geopend of niet. Deze workaround voorkomt specifiek dat de CVE-2021-40444 kwetsbaarheid kan worden uitgebuit.

Hou de patch van Microsoft in de gaten.  Volgende week dinsdag (09-14-2021) is de september ’21 Patch Tuesday. 

CVE-2021-40444