Was ist passiert?
Am 11.07.2023 hat Microsoft Details zu einer kritischen Zero-Day Schwachstelle in Microsoft Office (CVE-2023-36884) veröffentlicht. Es handelt sich um eine Sicherheitslücke, die einem Angreifer die Remotecodeausführung ermöglicht, wenn das Opfer eine speziell präparierte Microsoft Office-Datei öffnet. In der Folge kann der Angreifer beispielsweise das Endgerät verschlüsseln, Daten stehlen oder sich weiter im Netzwerk ausbreiten.
Es wurde auch bekannt, dass diese Sicherheitslücke bereits aktiv ausgenutzt wird. Auch das BSI warnt vor dieser kritischen Schwachstelle und sieht hier dringenden Handlungsbedarf.
Wie groß ist die Gefahr dieser Schwachstelle?
Microsoft selbst stuft die Schwachstelle mit einem Wert von 8,3/10 als kritisch ein. Das BSI stuft die Schwachstelle ebenfalls als schwerwiegend ein.
Auch wenn die Schwachstelle eine Benutzerinteraktion im Sinne des Öffnens eines präparierten Dokuments erfordert, stuft das BSI den Sachverhalt als schwerwiegend ein. Maßnahmen, um die Schwachstelle zu beheben, sollten schnellstmöglichst getroffen werden, um sicher vor Angriffen auf CVE-2023-36884 zu sein.
bsi.bund.de (2023): Aktive Ausnutzung einer Zero-Day Schwachstelle in Microsoft Office, [online] https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-248752-1012.pdf?__blob=publicationFile&v=6 [13.07.2023].
Wer ist von dieser Sicherheitslücke betroffen?
Laut Microsoft betrifft diese Zero-Day Schwachstelle Microsoft Office-Produkte. Nur Microsoft 365 Apps (ab Version 2302) sind nicht betroffen. Dies gilt für alle, die M365 verwenden und die neuesten Updates installiert haben. Wird M365 nicht verwendet, sollten bis zur Veröffentlichung eines Sicherheitsupdates durch Microsoft dringend die folgenden kurzfristigen Maßnahmen ergriffen werden.
Wie sollten Sie reagieren?
Microsoft hat noch keine Sicherheitsupdates zur Verfügung gestellt, um diese Sicherheitslücke zu schließen. Microsoft gibt jedoch manuelle Schritte an, um die Ausnutzbarkeit dieser Sicherheitslücke zu verhindern.
Dazu macht Microsoft folgende Angaben:
- Customers who use Microsoft Defender for Office are protected from attachments that attempt to exploit this vulnerability.
- In current attack chains, the use of the Block all Office applications from creating child processes Attack Surface Reduction Rule will prevent the vulnerability from being exploited.
- Organizations who cannot take advantage of these protections can set the FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION registry key to avoid exploitation. No OS restart is required, but restarting the applications that have had the registry key added for them is recommended in case the value was already queried and is cached. Please note that while these registry settings would mitigate exploitation of this issue, it could affect regular functionality for certain use cases related to these applications. For this reason, we suggest testing. To disable the mitigation, delete the registry key or set it to “0”.
- Add the following application names to this registry key as values of type REG_DWORD with data 1.:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
Excel.exe
Graph.exe
MSAccess.exe
MSPub.exe
Powerpnt.exe
Visio.exe
WinProj.exe
WinWord.exe
Wordpad.exe
Diese Registry werden können entweder manuell gesetzt werden, per Skript oder Gruppenrichtlinie in einem Domänen-Umfeld.
Es kann folgendes Powershellskript ausgeführt werden, um die oben genannten Registry Werte zu setzen:
# Set the registry path
$registryPath = "HKLM:\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" # Check if the registry path exists, if not create it
if (!(Test-Path $registryPath)) {
New-Item -Path $registryPath -Force | Out-Null
} # Set the registry values for each application
Set-ItemProperty -Path $registryPath -Name "Excel.exe" -Value 1
Set-ItemProperty -Path $registryPath -Name "Graph.exe" -Value 1
Set-ItemProperty -Path $registryPath -Name "MSAccess.exe" -Value 1
Set-ItemProperty -Path $registryPath -Name "MsPub.exe" -Value 1
Set-ItemProperty -Path $registryPath -Name "Powerpnt.exe" -Value 1
Set-ItemProperty -Path $registryPath -Name "Visio.exe" -Value 1
Set-ItemProperty -Path $registryPath -Name "WinProj.exe" -Value 1
Set-ItemProperty -Path $registryPath -Name "WinWord.exe" -Value 1
Set-ItemProperty -Path $registryPath -Name "Wordpad.exe" -Value 1 # Output success message
Write-Host "Registry values set successfully."
Auch die Verteilung per Gruppenrichtlinie ist möglich:
Wir empfehlen dringend, die oben genannten Maßnahmen umzusetzen und die aktuellen Sicherheitsupdates für Microsoft Office bzw. M365 Apps zu installieren.
Für unsere Managed Client Kunden werden diese Sicherheitsupdates automatisch installiert.
Wenn Sie weitere Informationen zu dem Thema oder wie Sie Ihre IT schützen können, erhalten möchten, können Sie uns jederzeit gerne kontaktieren und einen Termin zu einem kostenlosen Erstgespräch buchen.
Weiterhin empfehlen wir auch unser kostenloses Whitepaper „Wie schütze ich mein Unternehmen gegen Cyberattacken“.
Neueste Kommentare