Akute Gefahr durch docx-Dateien: So schützen Sie sich (Update)

Sicherheitsupdate verfügbar

Microsoft hat Sicherheitsupdates veröffentlicht, um diese Sicherheitslücke zu schließen. Das für Ihr System passende Update entnehmen Sie bitte der Tabelle unten auf dieser Seite.

Microsoft warnt Kunden aktuell vor einer gravierenden Sicherheitslücke in Verbindung mit docx-Dateien. Das Gefährliche an dieser Sicherheitslücke ist die Tatsache, dass das alleinige Öffnen der jeweiligen Word-Datei genügt, um den Schadcode auszuführen und Remote Code Execution zu ermöglichen. Ein zusätzliches Aktivieren von etwaigen Makros ist nicht nötig. Lesen Sie weiter, um zu erfahren, wie Sie sich vor dieser Gefahr schützen können. 

Was passiert bei den Angriffen? 

Als Angriffsvektor verwenden die Kriminellen ein präpariertes ActiveX-Element, das diese in Microsoft-Word-Dateien einbauen. Nach dem Öffnen der Datei wird dann per Browser Schadcode nachgeladen, der den jeweiligen Rechner verseucht. In den beobachteten Fällen wurde hier zunächst Cobalt Strike nachgeladen, was unter anderem auch bei den Bedrohungen durch gefährliche XLL-Dateien eingesetzt wird. 

Die Schwachstelle liegt in der Browser-Engine MSHTML (auch Trident genannt), die das erwähnte Nachladen ermöglicht. Diese Engine ist die HTML-Rendering-Engine aller Versionen des Internet Explorer auf Windows-Systemen. Sie wurde mit dem Internet Explorer 4 eingeführt und ist ein Kernbestandteil aller Versionen des Browsers. 

Es ist zudem möglich, dass auch Nutzer anderer Browser von der Gefahr betroffen sind.  

Was sagt Microsoft?

Die Sicherheitslücke ist unter der Nummer CVE-2021-40444 bei Microsoft einsehbarWie auf der Seite erwähnt, wird die Sicherheitslücke bereits aktiv ausgenutzt. Microsoft weist darauf hin, dass keine erhöhten Rechte oder besondere Voraussetzungen notwendig sind, um den Angriff durchzuführen.  

Wie können Sie sich schützen? 

NoSpamProxy schützt durch Content Disarm and Reconstruction (CDR) 

Nutzer von NoSpamProxy können sich vor gefährlichen docx-Dateien schützen, indem sie Content Disarm and Reconstruction (CDR) in einer Inhaltsfilteraktion entsprechend konfigurieren. 

  1. Gehen Sie zu Konfiguration > Inhaltsfilter > Aktionen des Inhaltsfilters und klicken Sie Hinzufügen. 
  2. Legen Sie die Inhaltsfilteraktion an und setzen Sie auf der Seite Content Disarm den Haken bei Konvertiere Word-Dokumente in PDF.
    cdr-docx-de
  3. Machen Sie die weiteren Einstellungen nach Bedarf. 
  4. Wählen Sie die Inhaltsfilteraktion im entsprechenden Inhaltsfiltereintrag aus. 

Sie sind nun durch CDR geschützt. 

Beachten Sie, dass der Vorgang des Umwandelns in PDF mit einer Fehlermeldung abbricht. Dies ist normal und keine Fehlfunktion. 

ActiveX per Registry deaktivieren 

Microsoft arbeitet an einer offiziellen Lösung und empfiehlt bis dahin, ActiveX-Kontrollelemente per Registry komplett auszuschalten 

Beachten Sie, dass bereits aktive ActiveX-Elemente davon unbeeinflusst bleiben.