Microsoft hat am Dienstag vor einer aktiv ausgenutzten Zero-Day-Lücke im Internet Explorer gewarnt, mit der anfällige Windows-Systeme mittels infizierter Word-Dokumente aus Office 365 und Office 2019 gekapert werden können. Ein Sicherheitsupdate gibt es bisher noch nicht, Abhilfe schafft Microsoft vorerst über einen Umweg.

Die Schwachstelle trägt den Namen CVE-2021-40444 (CVSS score: 8.8) und kann für die Remotecodeausführung genutzt werden. Grund ist eine Lücke in MSHTML, einer proprietären Browser-Engine für den inzwischen eingestellten Internet Explorer, wie "The Hacker News" berichtet. In Word-, Excel- und Powerpoint-Dokumenten wird diese zum Rendern von Web-Inhalten verwendet.

Internet Explorer

"Microsoft untersucht Berichte über eine Sicherheitslücke in MSHTML, die die Ausführung von Remotecode ermöglicht und Microsoft Windows betrifft. Microsoft weiß von gezielten Angriffen, die versuchen, diese Schwachstelle mit speziell gestalteten Microsoft-Office-Dateien auszunutzen", schreibt das Unternehmen. Ein Angreifer kann demnach ein bösartiges Active-X-Steuerelement so gestalten, "dass es von einem Microsoft-Office-Dokument verwendet wird, das die Browser-Rendering-Engine hostet". Angreifer müssen ihre Opfer dann dazu bringen, das Dokument zu öffnen.

Allerdings kann ein Angriff vereitelt werden, wenn Office mit der Standardkonfiguration ausgeführt wird. Heruntergeladene Dokumente werden dann im geschützten Ansichtsmodus oder mit dem Application Guard für Office 365 geöffnet. Bei ersterem werden laut "Bleeping Computer" die meisten Bearbeitungsfunktionen deaktiviert, während bei letzterem nicht vertrauenswürdige Dokumente isoliert werden, um ihnen zum Beispiel den Zugriff auf Unternehmensressourcen und das Intranet zu verwehren.

Temporäre Lösung

Bis zur bevorstehenden Veröffentlichung eines Sicherheitsupdates rät Microsoft zur Deaktivierung der Installation aller Active-X-Steuerelemente im Internet Explorer. Eine genaue Anleitung hierfür kann unter diesem Link gefunden werden. (red, 8.9.2021)