[JustisCERT-varsel] [#059-2021] [TLP:CLEAR] Aktiv utnyttelse av MSHTML-sårbarhet CVE-2021-40444

JustisCERT ønsker å varsle om en alvorlig sårbarhet i Microsoft MSHTML. MSHTML benyttes av flere produkter som kan kjøre på Microsoft Windows operativsystem, blant annet Microsoft Office og Internet Explorer. Sårbarheten muliggjør fjernkjøring av kode og har fått CVE-2021-40444 med CVSS score 8.8. [1]

Utnyttelse av sårbarheten krever at en bruker åpner et ondsinnet Office-dokument som benytter den skadelige ActiveX-kontrollen. Microsoft er kjent med aktiv utnyttelse av sårbarheten. Som standard beskytter Protected View mot kjøring av den skadelige koden på endepunktet, men dette kan bruker normalt overstyre når Office-dokumentet åpnes. Dersom Protected View er skrudd av via group policy (GPO) vil den skadelige koden kunne kjøres uten interaksjon fra bruker.

Berørte produkter er blant annet:

• Microsoft Office 2019 og eldre
• Office 365

Anbefalinger:

• Se Microsoft sine mitigerende tiltak og anbefalinger for å skru av ActiveX [1]
• Benytt Protected View [2] og Application Guard for Office til å forby kjøring av uønskede ActiveX-kontroller (utgjør en risiko) eller skru av støtten for ActiveX i Office helt (gir best sikkerhet)
• Deaktivere installering av nye ActiveX-kontroller i Internet Explorer (utgjør en risiko) eller skru av støtten for ActiveX helt (gir best sikkerhet)
• Blokker alle Office-installasjoner fra å kjøre dokumenter med makroer (tillat eventuelt kun makroer som er signert av virksomheten selv)
• Herde Office-installasjoner i henhold til anbefalinger fra f.eks. Australian Cyber Security Center [3]

Kilder:
[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
[2] https://support.microsoft.com/en-us/topic/what-is-protected-view-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653
[3] https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/hardening-microsoft-365-office-2021-office-2019-and-office-2016