Was ist los im Hause Microsoft? In letzter Zeit häufen sich Meldungen über Schwachstellen in Microsoft-Produkten, die fortbestehen, obschon sie eigentlich bereits mit einem Patch versehen wurden. Auch die jüngste, von den Sicherheitsexperten bei Sophos Labs entdeckte kritische Schwachstelle konnte durch einen Patch nicht behoben werden.

Dabei geht es um eine Lücke in MSHTML, die durch speziell gestaltete Microsoft-Office-Dokumente ausgenutzt werden kann. Microsoft glaubte, die Sicherheitslücke im Rahmen der Patch-Tuesday-Updates vom September 2021 behoben zu haben, irrt diesbezüglich jedoch. Denn seither wurde der Exploit bereits in mehreren neueren Angriffen ausgenutzt. Die Lücke erlaubt es Angreifern, betroffene Systeme zum Download und zur Installation von Malware zu bringen. Dafür kommt offenbar neben dem Windows-Scripting-Host auch die systemeigene Powershell zum Einsatz.

„In den ersten Versionen der CVE-2021-40444-Exploits rief das bösartige Office-Dokument eine Malware-Nutzlast ab, die in eine Microsoft Cabinet (oder .CAB)-Datei verpackt war“, erklären die Sophos-Labs-Forscher Andrew Brandt und Stephen Ormandy in einem neuen, am Dienstag veröffentlichten Bericht. „Als Microsofts Patch dieses Schlupfloch schloss, entdeckten die Angreifer, dass sie eine ganz andere Angriffskette nutzen konnten, indem sie das Schad-Dokument in ein speziell präpariertes RAR-Archiv einfügten.“

Die Forscher sehen mindestens teilweise Microsoft in der Verantwortung für die erneute Ausweitung einer bereits bekannten Schwachstelle. Deren Entwickelnde hätten den Patch „zu eng fokussiert. Oder anders ausgedrückt: Sie haben die Breite und Tiefe der Lücke nicht korrekt erfasst und behandelt.

Ein ähnliches Problem hatte der Sicherheitsexperte Abdelhamid Naceri im November öffentlich gemacht. Er hatte einen Patch analysiert und dabei festgestellt, dass Microsoft die Ursache der zu patchenden Lücke nicht behoben hatte. Vielmehr war nur ein Workaround geschrieben worden, der es Naceri nun erlaubt hatte, einen noch mächtigeren Exploit zu finden.

„Diese Untersuchung erinnert uns daran, dass Patches allein nicht immer vor allen Schwachstellen schützen können“, sagt Andrew Brandt von Sophos Labs gegenüber The Hacker News. „Das Festlegen von Einschränkungen, die verhindern, dass ein Benutzer versehentlich ein schädliches Dokument auslöst, hilft zwar, aber Menschen können immer noch dazu verleitet werden, auf die Schaltfläche ‚Inhalt aktivieren‘ zu klicken.“

Es sei daher äußerst wichtig, Mitarbeitende zu schulen und sie daran zu erinnern, bei per E-Mail verschickten Dokumenten misstrauisch zu sein, insbesondere wenn diese in ungewöhnlichen oder ungewohnten komprimierten Dateiformaten von ihnen unbekannten Personen oder Unternehmen eintreffen, so Brandt weiter. Und es wäre natürlich gut, wenn Microsoft seine Patches so anlegen würde, dass sie nicht bloße Pflaster sind, die auf tiefe Wunden geklebt werden …