Kwetsbaarheid in Internet Explorer gevaar voor Microsoft Office-gebruikers

Microsoft heeft melding gemaakt van een zero-day-kwetsbaarheid die de code CVE-2021-40444 toegewezen heeft gekregen, die het mogelijk maakt om op afstand schadelijke code uit te voeren op computers van slachtoffers. Erger nog: cybercriminelen maken nu al gebruik van het beveiligingslek om Microsoft Office-gebruikers aan te vallen. Daarom adviseert Microsoft Windows-netwerkbeheerders om een tijdelijke workaround te gebruiken totdat het bedrijf een patch publiceert.

Details van CVE-2021-40444

De kwetsbaarheid bevindt zich in MSHTML, de engine van Internet Explorer. Hoewel nog maar weinig mensen IE gebruiken (zelfs Microsoft raadt sterk aan over te schakelen op zijn nieuwere browser, Edge), blijft de oude browser een onderdeel van moderne besturingssystemen, en sommige andere programma’s gebruiken de engine ervan om web-inhoud te verwerken. Met name Microsoft Office-toepassingen zoals Word en PowerPoint zijn ervan afhankelijk.

Hoe aanvallers CVE-2021-40444 benutten

De aanvallen doen zich voor als embedded schadelijke ActiveX-besturingselementen in Microsoft Office-documenten. Met de besturingselementen kan willekeurige code worden uitgevoerd; de documenten komen hoogstwaarschijnlijk als bijlagen met e-mailberichten binnen. Zoals bij elk bijgevoegd document, moeten aanvallers de slachtoffers eerst overhalen het bestand te openen.

In theorie behandelt Microsoft Office documenten die via het internet worden ontvangen in Beschermde weergave of via Application Guard voor Office, die beide een CVE-2021-40444-aanval kunnen voorkomen. Gebruikers kunnen echter zonder na te denken op de knop Bewerken inschakelen klikken en zo de beveiligingsmechanismen van Microsoft uitschakelen.

Melding over modus Beschermde weergave in Microsoft Word

Zo beschermt u uw bedrijf tegen CVE-2021-40444

Microsoft heeft beloofd dit te onderzoeken en indien nodig een officiële patch uit te brengen. We verwachten echter geen patch vóór 14 september, wat de volgende Patch Tuesday is. Onder normale omstandigheden zou het bedrijf een kwetsbaarheid niet aankondigen voordat er een fix is uitgebracht, maar omdat cybercriminelen CVE-2021-40444 al misbruiken, raadt Microsoft aan om onmiddellijk een tijdelijke workaround te gebruiken.

De workaround bestaat uit het verbieden van de installatie van nieuwe ActiveX-besturingselementen, wat u kunt doen door een paar sleutels toe te voegen aan het systeemregister. Microsoft biedt gedetailleerde informatie over de kwetsbaarheid, inclusief een sectie met workarounds (waarin u ook kunt lezen hoe u de workaround kunt uitschakelen zodra u deze niet meer nodig hebt). Volgens Microsoft zou de workaround geen invloed mogen hebben op de prestaties van reeds geïnstalleerde ActiveX-besturingselementen.

Wat ons betreft raden we het volgende aan:

• Installeer een beveiligingsoplossing op het niveau van de bedrijfsmail-gateway of verbeter de standaardbeveiligingsmechanismen van Microsoft Office 365 om bedrijfsmail tegen aanvallen te beschermen;
• Rust alle computers van uw medewerkers uit met [kesb placeholder]beveiligingsoplossingen[/kesb placeholder] die in staat zijn om misbruik van kwetsbaarheden te detecteren;
• Zorg voor bewustzijn bij uw werknemers over moderne cyberdreigingen, en herinner hen er met name aan om nooit documenten uit niet-vertrouwde bronnen te openen, laat staan de bewerkingsmodus in te schakelen, tenzij dit absoluut noodzakelijk is.