Sachverhalt
Ein entfernter Angreifer kann die Ausführung von Code aus der Ferne erreichen. Dazu muss das Opfer lediglich dazu gebracht werden, ein speziell präpariertes Microsoft Office-Dokument zu öffnen. Diese Dokumente schleußen Schadcode ein, der mit den Rechten der Opfer läuft.
Die Sicherheitslücke wird bereits ausgenutzt, teils auch von kriminellen Banden, die auf Ransomware-Angriffe und Cyber-Erpressung spezialisiert sind.
Maßnahmen
Für die Schwachstelle ist noch kein Patch verfügbar. Daher sollten die folgenden Maßnahmen genutzt werden, um die Ausnutzung der Schwachstelle zu verhindern:
- Microsoft Office-Anwendungen das Erstellen von Child-Prozessen über „Attack Surface Reduction (ASR)“-Regeln verbieten
- Registry-Schlüssel
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internetanlegen und die folgendenExplorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
DWORD-Werte auf 1 setzen- Excel.exe
- Graph.exe
- MSAccess.exe
- MsPub.exe
- PowerPoint.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
- respektive Aktivieren der Richtlinie „Block all Office applications from creating child processes“
Laut Microsoft können nach dem Setzen der Registry-Werte bei speziellen Nutzungsszenarien Einschränkungen auftreten.
Die Verwendung von Microsoft Defender for Office 365 sowie Microsoft 365 Apps (ab Version 2302) sollen laut Microsoft bereits eine Ausnutzung der Schwachstelle durch präparierte Dokumente verhindern.