Wie Hacker Microsoft Word-Dokumente ausnutzen, um Windows zu hacken

Eskere Guru

Ein kürzlich entdeckter Fehler in Microsofts proprietärer MSHTML-Browser-Engine ermöglicht Hackern die Remote-Codeausführung in allen Windows-Versionen. Angreifer nutzen speziell gestaltete Word-Dokumente, um diesen Zero-Day-Bug auszunutzen. Leider wird MSHTML auch von mehreren Microsoft-Produkten verwendet, darunter Skype, Visual Studio und Microsoft Outlook, sodass das Problem ziemlich weit verbreitet ist.

Lassen Sie uns daher untersuchen, wie der Exploit funktioniert und wie Sie sich davor schützen können.

Wie funktioniert der Zero-Day-Exploit von Microsoft Word?

Der Angriff beginnt, wenn Benutzer dazu verleitet werden, ein waffenfähiges Word-Dokument zu öffnen. Dieses Dokument enthält ein speziell gestaltetes ActiveX-Steuerelement, das für die Verarbeitung durch die MSHTML-Engine gedacht ist. Wenn es erfolgreich geladen wurde, können Hacker dieses ActiveX-Steuerelement verwenden, um Remotecode auf dem kompromittierten Gerät auszuführen.

Wie Hacker Microsoft Word-Dokumente ausnutzen, um Windows zu hacken - microsoft word

Microsoft verfolgt diesen Fehler als CVE-2021-40444 und hat ihm einen CVSS-Score von 8,8 zugewiesen. Es macht den MSHTML-Bug zu einem schwerwiegenden Problem mit dem Potenzial, erheblichen Schaden anzurichten.

Wie man den MSHTML-Angriff abschwächt

Benutzer können den MSHTML-Angriff verhindern, indem sie nicht vertrauenswürdige Word-Dokumente nicht öffnen. Selbst wenn Sie versehentlich auf solche Dokumente klicken, schützt Sie das Ausführen von Office mit Standardkonfigurationen wahrscheinlich vor diesem neuesten Zero-Day-Angriff im Zusammenhang mit Microsoft.

Standardmäßig öffnet Office aus dem Internet heruntergeladene Dokumente entweder in der geschützten Ansicht oder in Application Guard für Office. Diese Funktion verhindert, dass nicht vertrauenswürdige Dateien auf wichtige Systemressourcen zugreifen, sodass Sie wahrscheinlich sicher sind.

Benutzer, die mit Administratorrechten arbeiten, sind jedoch durch den MSHTML-Angriff einem hohen Risiko ausgesetzt. Da derzeit kein funktionierender Patch verfügbar ist, empfehlen wir, Office-Dokumente nur als Standardbenutzer zu öffnen, wo Sie die geschützte Ansicht speichern kann. Microsoft hat auch gesagt, dass das Deaktivieren des ActiveX-Steuerelements diesen Angriff verhindern kann.

Verwandte: Microsoft aktiviert Application Guard von Office 365 zum Schutz von Heimarbeitern

So deaktivieren Sie das ActiveX-Steuerelement

Um das ActiveX-Steuerelement zu deaktivieren, öffnen Sie einen Texteditor und erstellen Sie eine Datei namens disable-activex.reg . Sie können diese Datei beliebig nennen, solange die Erweiterung .reg vorhanden ist. Fügen Sie nun Folgendes in die Datei ein und speichern Sie sie.

 Windows Registry Editor Version 5.00
 [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones ]
 "1001"=dword:00000003
 "1004"=dword:00000003
 [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones1]
 "1001"=dword:00000003
 "1004"=dword:00000003
 [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2]
 "1001"=dword:00000003
 "1004"=dword:00000003
 [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones3]
 "1001"=dword:00000003
 "1004"=dword:00000003

Doppelklicken Sie auf die Datei und klicken Sie auf Ja, wenn Sie von Windows dazu aufgefordert werden. Starten Sie Ihren PC neu, sobald dies erledigt ist, und Windows übernimmt die neuen Konfigurationen.

Vorsicht vor nicht vertrauenswürdigen Word-Dokumenten

Microsoft hat noch keine offiziellen Patches für den MSHTML-Exploit veröffentlicht. Daher ist es am besten, auf aus dem Internet heruntergeladene Dokumente zu klicken, wenn Sie sicher bleiben möchten. Glücklicherweise kann Defender diesen Angriff erkennen und verhindern, dass Ihr System kompromittiert wird. Stellen Sie also sicher, dass Sie Microsoft Defender aktivieren und den Echtzeitschutz aktivieren.