Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor erneutem Zeroday-Exploit bei Microsoft-Betriebssystemen

Am 07.09. diesen Jahres veröffentlichte Microsoft Informationen zu einer bisher nicht gepatchten Sicherheitslücke, welche bereits von Angreifern ausgenutzt wird. Es werden dabei Office-Dokumente verschickt, die beim Öffnen eine Schwachstelle in der Browser-Engine des Internet Explorers nutzen, um schadhafte ActiveX-Steuerungselemente nachzuladen und zu installieren. Das BSI geht von einer mittleren Bedrohungslage aus.

Betroffen sind alle sich im Microsoft-Support befindlichen Betriebssysteme, egal ob Clients oder Server.

Microsoft selber weist in der Erklärung daraufhin, dass die standardmäßig aktivierte „geschützte Ansicht“ beim Öffnen von Microsoft Office-Dokumenten, die Wahrscheinlichkeit eines Befalls drastisch reduziert. Der Endbenutzer kann diese allerdings jederzeit umgehen.

Bis ein entsprechender Patch veröffentlicht wird, empfiehlt Microsoft die Deaktivierung von ActiveX im Internet Explorer mit Hilfe eines Updates der Registry. Damit ihr das nicht für jeden Kundenrechner händisch machen müssten, haben wir euch ein Skript im SYNAXON Managed Services Monitoring & Management bereitgestellt, welches ActiveX mit Hilfe eines Registry Eintrags im Internet Explorer deaktiviert. Es handelt sich um die „Geraet: CVE-2021-40444“-Aufgabe, die auf den Kundengeräten ausgeführt werden muss.

Eine kurze Zusammenfassung des Zeroday-Exploit bei Microsoft-Betriebssystemen:

  • alle Windows-Versionen sind betroffen
  • Angriff über Mailanhänge mit Office-Dokumenten
  • Patch steht noch nicht zur Verfügung
  • Lösung: Mit der Aufgabe „Geraet: CVE-2021-40444“ im SMS RMM den von Microsoft empfohlenen Registry Schlüssel setzen und so ActiveX im Internet Explorer deaktivieren.

Zum Ausführen der Aufgabe bleibt die Befehlszeile leer. Nach dem Ausführen des Skripts ist es wichtig, dass ihr die Maschine eures Kunden einmal neustartet! Sobald die Sicherheitslücke durch den kommenden Patch geschlossen wurde, könnt ihr einfach in die Befehlszeile „zurueck“ eintragen und es erneut ausführen. Hiermit werden die gesetzten Einstellungen rückgängig gemacht.

Tipp: Das Skript kann problemlos wiederkehrend ausgeführt werden. Daher kann die Aufgabe täglich mit der Option „Aufgabe so bald wie möglich ausführen, wenn der Zeitplan verfehlt wurde“ erstellt werden.

Bei Fragen zur „Geraet: CVE-2021-40444“-Aufgabe, kommt gern auf uns zu!

sms@synaxon.de | 05207 / 9299 444