SentinelOne informiert über Remote Code Execution in MSHTML

Am 7. September 2021 veröffentlichte das Microsoft Security Response Center (MSRC) ein Advisory zu einer Remote Code Execution in der MSHTML-Engine und bezeichnete die Schwachstelle als CVE-2021-40444. Microsoft weiß auch von gezielten Angriffen, die versuchen, diese Sicherheitslücke in freier Wildbahn auszunutzen. Die Sicherheitslücke kann von einem entfernten Angreifer ausgenutzt werden, der ein speziell gestaltetes MS OFFICE-Dokument fälscht und die Aktivierung eines entfernten ActiveX-Objekts ausnutzt. Die Schwachstelle erfordert keine Benutzerinteraktion über die anfängliche Aktivierung hinaus - es genügt, wenn ein Opfer auf das bösartige Dokument klickt. Aus diesem Grund wird CVE-2021-40444 mit einem CVSS:3.0-Score von 8.8 bewertet, was sehr hoch ist. Der Patch für CVE-2021-40444, der noch untersucht wird, wurde zum Zeitpunkt der Erstellung dieses Berichts noch nicht von Microsoft veröffentlicht. Microsoft empfiehlt, die Installation von ActiveX-Steuerelementen im Internet Explorer in allen Zonen zu deaktivieren. Die Kernlogik des Exploits beruht auf der Aktivierung eines ActiveX-Objekts, das in einem Word-Dokument gerendert wird, welches über eine entfernte Webseite bereitgestellt wird. Darüber hinaus erfolgt die Ausführung der endgültigen Nutzlast durch die "Cpl File Execution"-Technik, mit der der Prozess "control.exe" gestartet wird. Die Beziehungen zwischen den durch den Exploit erzeugten Prozessen können als Indikator für bösartiges Verhalten verwendet werden.

SentinelOne Agent schützt gegen Post-Exploitation-Versuche dieser CVE.

SentinelOne Kunden können SentinelOne Deep Visibility und/oder STAR Active Response-Regeln verwenden, um potenzielle Ausnutzungsversuche dieser Sicherheitslücke zu erkennen:

EndpointOs = "windows" AND EventType = "Process Creation" AND TgtProcName Contains Anycase "rundll32.exe" AND SrcProcName Contains Anycase "control.exe" AND SrcProcParentName Contains Anycase "winword.exe" AND TgtProcCmdLine Contains Anycase "Shell32.dll" AND TgtProcCmdLine Contains Anycase "Control_RunDLL" AND TgtProcCmdLine Contains Anycase ".cpl:" EndpointOS = "windows" AND SrcProcName In AnyCase ( "winword.exe" ) AND SrcProcCmdLine RegExp "(.*\\Content\.Outlook.*|.*MSO\.*|.*\\Temp.*|,*\\Downloads\\,*)" AND modulepath containsCIS "MSHTML" AND NOT SrcProcCmdLine RegExp "(.*/cid.*)"

Im Falle einer Übereinstimmung wenden Sie sich gerne an uns, um Unterstützung zu erhalten!