Aktive Ausnutzung einer Zero-Day-Schwachstelle in Microsoft Office: Risiken und Handlungsempfehlungen CVE-2023-36884.

Am 11. Juli 2023 hat Microsoft eine Zero-Day-Schwachstelle in der Office-Suite bekannt gegeben, die Hacker im Moment aktiv ausnutzen. Die Sicherheitslücke trägt die Nummer CVE-2023-36884 und ermöglicht es einem entfernten Angreifer, Code aus der Ferne auszuführen. Dies passiert, wenn das Opfer ein speziell präpariertes Microsoft-Office-Dokument öffnet. Bei uns erfahren Sie die Risiken und Handlungsempfehlungen bezüglich CVE-2023-36884.

Aktuelle Situation

Die Schwachstelle wird bereits von der russischen Angreifer-Gruppe Storm-0978 ausgenutzt, die insbesondere Angriffe auf Verteidigungs- und Regierungsorganisationen in Europa und Nordamerika unternimmt. Die dabei genutzten Phishing-Mails mit präparierten Word-Dokumenten weisen im Betreff einen Bezug zum Ukrainischen Weltkongress auf. Es muss davon ausgegangen werden, dass – ggf. auch andere Tätergruppen – das öffentliche Bekanntwerden der Sicherheitslücke nutzen, um weitere Exploits zu entwickeln und Angriffsversuche auf Organisationen zu starten, die nicht den oben genannten Verteidigungs- bzw. Regierungssektoren angehören.

Obwohl die Schwachstelle eine Benutzerinteraktion im Sinne des Öffnens eines präparierten Dokuments erfordert, stuft das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Sachverhalt als schwerwiegend ein. Maßnahmen, um die Schwachstelle zu beheben, sollten schnellstmöglich getroffen werden, um sicher vor Angriffen auf CVE-2023-36884 zu sein.

Für die Schwachstelle CVE-2023-36884 ist aktuell kein Patch verfügbar. Daher sollten die angegebenen Mitigationsmaßnahmen genutzt werden, um die Ausnutzung der Schwachstelle zu verhindern. Außerdem sollten IT-Sicherheitsverantwortliche regelmäßig prüfen, ob ein Patch veröffentlicht wurde.

Empfohlene Maßnahmen

1. Überprüfen Sie regelmäßig, ob ein Patch für die Schwachstelle CVE-2023-36884 verfügbar ist.
2. Nutzen Sie die angegebenen Mitigationsmaßnahmen, um die Ausnutzung der Schwachstelle zu verhindern. Diese umfassen:
   • Verbieten Sie allen Microsoft-Office-Anwendungen das Erstellen von Child-Prozessen über die „Attack Surface Reduction (ASR)“-Regeln.
   • Legen Sie unter dem Registry-Schlüssel HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftInternet ExplorerMainFeatureControlFEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION neue DWORD-Werte mit den folgenden Namen der Office-Programmdateien an und setzen Sie diese jeweils auf 1:
     • Excel.exe
     • Graph.exe
     • MSAccess.exe
     • MSPub.exe
     • PowerPoint.exe
     • Visio.exe
     • WinProj.exe
     • WinWord.exe
     • Wordpad.exe
3. Beachten Sie, dass nach dem Setzen der o.g. Registry-Werte Einschränkungen bei speziellen Nutzungsszenarien auftreten können. In diesem Fall ist das Risiko der Ausnutzung der Schwachstelle höher zu gewichten als die Einschränkungen.
4. Setzen Sie die Registry-Werte wieder in den Ausgangszustand, nachdem der zugehörige Patch veröffentlicht und eingespielt wurde.
5. Prüfen und installieren Sie die Sicherheitsupdates des Juli-Patchdays, um zumindest die oben beschriebenen Schwachstellen sowie weitere Verwundbarkeiten in Microsoft-Produkten zu schließen.

Fazit

Die aktuelle Bedrohungslage unterstreicht die Notwendigkeit, stets wachsam zu sein und die empfohlenen Sicherheitsmaßnahmen umzusetzen, um die Sicherheit von IT-Systemen zu gewährleisten. Wir hoffen, dass Sie die Risiken in Ihrem Unternehmen durch unsere Handlungsempfehlungen für CVE-2023-36884 bändigen konnten. Mehr Infos erfahren Sie auf der Seite des BSI.

Bei Fragen oder Anregungen zum Thema New Work, zur Microsoft Welt oder zu Collaboration Tools stehen wir Ihnen gerne beratend zur Seite. Wir freuen uns auf Ihre Kontaktaufnahme.

Weitere Blogartikel aus Bereichen, die von New Work, über Microsoft 365 bis hin zu Sustainable IT reichen, finden Sie auf unserer Blogseite.