Af Eskil Sørensen, 08/09/21
Microsoft har tirsdag meddelt, at en 'remote code execution'-sårbarhed pt. udnyttes i målrettede angreb mod Office 365 og Office 2019 på Windows 10. Det skriver Bleeping Computer og en række andre medier, ligesom CISA har udsendt en meddelelse om det.
Fejlen findes i MSHTML, browserens gengivelsesmotor, der også bruges af Microsoft Office -dokumenter. Sårbarheden har fået id’et CVE-2021-40444 og den påvirker Windows Server 2008 til 2019 og Windows 8.1 til og med 10. Sårbarheden har fået scoren 8,8 ud af de maksimale 10 på CVSS-skalaen.
Microsoft skriver i sin advisory, at man er opmærksom på angreb, der forsøger at udnytte sårbarheden. Det sker ved fremsendelse af til lejligheden udviklede Microsoft Office-dokumenter til potentielle ofre, som dog kræver en aktiv handling fra offeret, nemlig at åbne det ondsindede dokument.
Microsoft på overarbejde
Bleeping Computer har været i kontakt med researcherne bag fundet af sårbarheden, som fortæller, at de fandt den efter at have opdaget et ’meget sofistikeret zero-day-angreb’ rettet mod Microsoft Office-brugere. Angriberne har brugt en .DOCX –fil, som – når den åbner – starter Internet Explorer-motoren mhp at åbne en ekstern webside fra trusselsaktøren.
Herefter downloades malware ved hjælp af en bestemt ActiveX -kontrol på websiden. Selv afviklingen sker ifølge Microsofts advisory ved hjælp af ’et trick kaldet ”Cpl File Execution"’.
Ifølge researcherne skulle angrebsmetoden er ’100 pct pålidelig’, hvilket gør den meget farlig.
Sårbarheden blev rapporteret til Microsoft tidligt søndag morgen.
Links:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444