Microsoft waarschuwt voor actief misbruikte zeroday in Office 365 en Office 2019

Microsoft waarschuwt dat hackers actief misbruik maken van een kwetsbaarheid in Office 365 en Office 2019. De kwetsbaarheid zit in Mshtml, een browserrenderer uit Internet Explorer, die ook wordt gebruikt voor Office-documenten.

De kwetsbaarheid treft Windows 8,1 en Windows 10, en Windows Server-versies van 2008 tot 2019, blijkt uit een advisory van Microsoft. Hackers zouden aangepaste Microsoft Office-documenten naar slachtoffers sturen om de kwetsbaarheid te misbruiken. Als gebruikers die documenten zonder beveiligingsfuncties openen, dan zou de kwetsbaarheid remote code execution mogelijk maken. De kwetsbaarheid wordt aangemerkt als CVE-2021-40444 en krijgt een ernstigheidsniveau van 8,8 uit 10.

In de standaardconfiguratie van Microsoft Office worden onbekende documenten echter geopend in de Protected View- of Application Guard-modus. Die eerstgenoemde is een read-only-modus en Application Guard isoleert onbekende documenten, waardoor deze geen toegang krijgen tot het systeem van gebruikers. Binnen deze modi kan de kwetsbaarheid niet worden misbruikt. Ook de Windows Defender-antivirussoftware en Windows Defender for Endpoint vanaf build 1.349.22.0 bieden bescherming tegen de kwetsbaarheid. De kwetsbaarheid is echter nog niet gepatcht in Windows zelf.

Beveiligingsonderzoekers van Expmon geven op Twitter aan dat ze de kwetsbaarheid hebben gevonden nadat ze een 'zeer geraffineerde zeroday-aanval' detecteerden die is gericht op Microsoft Office-gebruikers. Ze wisten de aanval te reproduceren op de meest recente versies van Office 2019 en Office 365 op Windows 10.

Haifei Li van Expmon meldt aan BleepingComputer dat aanvallers een geïnfecteerd .docx-bestand gebruiken om de kwetsbaarheid te exploiteren. Wanneer slachtoffers dit openen, laadt het document de Internet Explorer-engine om een externe webpagina van de hacker te laden. Daarna wordt malware gedownload door een specifieke ActiveX-control in de webpagina te gebruiken. Expmon heeft de kwetsbaarheid zondag gemeld bij Microsoft.

Het bedrijf heeft nog geen beveiligingsupdate voor Windows doorgevoerd. De volgende Patch Tuesday staat gepland op 14 september, maar het is niet bevestigd dat Microsoft dan ook een patch voor deze kwetsbaarheid uitbrengt. De techgigant biedt wel een workaround. Gebruikers kunnen de installatie van alle ActiveX-elementen in Internet Explorer uitschakelen in de registry. Het bedrijf biedt daarvoor instructies.

Door Daan van Monsjou

Redacteur

08-09-2021 • 19:39

86 Linkedin

Lees meer

Reacties (86)

Wijzig sortering
In de CVE staat een belangrijke paragraaf:

Microsoft Defender Antivirus and Microsoft Defender for Endpoint both provide detection and protections for the known vulnerability. Customers should keep antimalware products up to date. Customers who utilize automatic updates do not need to take additional action. Enterprise customers who manage updates should select the detection build 1.349.22.0 or newer and deploy it across their environments. Microsoft Defender for Endpoint alerts will be displayed as: “Suspicious Cpl File Execution”.

Oftewel, zolang je defender aan hebt staan ben je eigenlijk al safe. Dus een spoedupdate lijkt daardoor onnodig, mits Microsoft de definities ook even met de andere AV boeren deelt.

Ook wordt gesproken over user vs admin toegang, dit is zeker voor de kantoor gebruikers een belangrijke denk ik. Geen privilege escalation, in ieder geval niet direct via deze zero day.
Ah dat is fijn. Voor wat betreft admin of niet: Als je al een activeX entrypoint hebt, waardoor je remote code kan executen kun je simpelweg privelege escalations inzetten om admin te worden.
Het staat duidelijk in het artikel dat Defender afdoende beschermt.
Heel fijn, maar als je een ander securityproduct gebruikt ben je nog niet geholpen.
Dus eigenlijk zit de kwetsbaarheid in de ActiveX component van Internet Explorer.

Dus als ActiveX en MSIE niet op je systeem staan - aangezien beide end of life zijn - Ben je ook veilig.

Helaas zijn er nog bedrijven die nog steeds MSIE geïnstalleerd hebben bij hun gebruikers. Wellicht samen met Flash en ActoveX ...
Als je nog gebruik maakt van Office 2013 (support tot Q2 2023) kun je IE11 niet zonder meer verwijderen, omdat hyperlinks in je Office producten dan niet meer werken - ook niet als er is ingesteld dat een andere browser ze uiteindelijk opent.

Je kunt feitelijk enkel mitigerende maatregelen nemen of upgraden naar een Office versie die geheel zonder IE kan.
Ik heb nog steeds explorer nodig om silverlight te draaien
Is Silverlight niet net als Flash end of life en vervangen door canvas, CSS3 en web audio API?
Je verkoopt abonementen op een vrij complex product waar je erachter komt dat er een zeroday actief misbruikt wordt, meldt dit naar je klanten en hebt het met de beveiligingsproducten al deels afgevangen zodat het gedetecteerd kan worden. Ondertussen probeer je het lek daadwerkelijk te dichten.

Wat had je liever gezien? Dat ze de zeroday ontkennen, of dat hun beveiligingsoplossing het negeert?
Defender is al sinds zijn release gratis (omstreeks 2005) en zal zeer waarschijnlijk nooit geld kosten dus om dan gelijk oplichting te roepen klinkt als klagen om maar te klagen...
Je hebt helemaal gelijk wat betreft de reactie van Microsoft.

Even los daarvan: Office is m.i. nodeloos complex. Voor een dikke 90% van users zijn 90% van de features overbodig.

Doe een Office Basic en Office Pro en hou de basic lekker basic. Is de kans op zerodays ook een stuk kleiner. :)
Het product voldoet prima, want Office opent normaal dit soort documenten al in beveiligde modus. Dus het gaat mis als je admin rechten hebt (anders kun je geen activex componenten installeren), je de ingebouwde defender niet voorziet van updates en uit de beveiligde modus van Office gaat…
Het product voldoet prima, want Office opent normaal dit soort documenten al in beveiligde modus.
Het feit dat er een 'beveiligde modus' is geeft echter al aan dat men het eigen product niet echt vertrouwd.

Dit is weer een fantastisch voorbeeld van Microsoft Legacy. Ze blijven zo enorm lang in het verleden hangen dat ze keer op keer weer in de problemen komen. Nu dus weer door Internet Explorer integratie, waarom zit dat in vredesnaam nog in Office (365)? Dat de printspooler zo lek is als een mandje, dat kun je verwachten gezien het een enorm oud systeem is, maar dit? Dit is niet echt uit te leggen vind ik persoonlijk.

Ik ben benieuwd wat de windows zero-day van volgende maand wordt... Het audio systeem? Of misschien weer een font exploit?

Gezien al deze legacy onderdelen gewoon weer meegenomen worden naar Windows 11 zal er ook niet echt wat veranderen..
Wat is dat nou voor onzin, omdat er een beveiligde modus in Office zit vertrouwd microsoft het product niet?
Dat is ongeveer hetzelfde zeggen als "op een ios device mag je geen eigen software installeren, omdat apple hun eigen beveiliging niet vertrouwd" of "linux heeft een sudo commando, omdat ze hun eigen beveiliging niet goed in orde heeft. Daarom moet je verhoogde rechten aanvragen".
Wees blij dat er beveiligingslagen in Office zitten.

Als Office een andere html-engine zou gebruiken, kan er net zo goed iets mis gaan. Google update bijna wekelijks vulnerabilities in hun browser, Firefox ook meerdere keren in de maand. Safari heeft ook al aardig wat security problemen gehad.
Maar Word zou om te beginnen al helemaal geen HTML engine moeten hebben. Iets met scope creep.
Inderdaad. Pak het echte probleem aan. Het is een tekstverwerker…. Het feit dat Microsoft dit gebouwd heeft zegt genoeg..
Wat is dat nou voor onzin, omdat er een beveiligde modus in Office zit vertrouwd microsoft het product niet?
Ja, inderdaad. Welk product ken jij die dit ook doet?

Dat is ongeveer hetzelfde zeggen als "op een ios device mag je geen eigen software installeren, omdat apple hun eigen beveiliging niet vertrouwd" of "linux heeft een sudo commando, omdat ze hun eigen beveiliging niet goed in orde heeft. Daarom moet je verhoogde rechten aanvragen".
Ja, ga lekker dingen uit verband trekken en besturingssysteem en tekstverwerkers met elkaar te vergelijken. Een besturingssysteem moet code uitvoeren daarom is er scheiding van rechten. Een tekstverwerker moet documenten weergeven. Die zou gewoon nooit code moeten uitvoeren.

Nu kun je wel browsers erbij halen maar die vallen tegenwoordig meer in het besturingssysteem vak dan tekstverwerker, denk je niet…

Vergelijk het met normale programma’s. En nee, een grote read-only modus bouwen die vaak niet eens het document goed weergeeft en eenvoudig te omzeilen is met social engineering vind ik geef toffe oplossing. Office is letterlijk nog steeds een van de grootste virus doelwitten ter wereld, maar ze doen prima hun werk hoor. Ik denk dat het volgt jaar wel veranderd als ze een read-only preview scherm voor het read-only preview scherm bouwen…

Ze zouden ook gewoon VBA en macro’s eruit kunnen halen. Je weet wel, die 1990 code die de bron is van vele ellende. Maar nee, bouw er nog maar een muur omheen.. dan wordt het wel veilig /s
Toch niet die "beveiligde modus" waar iedereen uit wegklikt omdat heel veel documentfuncties niet werken?
Ach ja, spaghetticode. Wie had er gedacht een verouderde IE en verouderde plugins terug te vinden in een modern office-programma.
Klopt! Daar heb je namelijk nog veel meer ellende waarvan het grootste deel niet boven water komt gezien de beperkte marktacceptatie (i.v.m. Office uiteraard).
Ik heb het even voor je opgezocht. Het Aantal cve's voorLibreOffice is veel kleiner dan voor Word. Het ligt voor de hand dat er meer onderzoek gedaan wordt naar Word (ook vanuit Microsoft zelf), waardoor een vals gevoel van veiligheid ontstaat als je puur op deze cijfers afgaat.
Ik heb geen oordeel uitgesproken voor het verschil in die aantallen. Ik gaf wel een suggestie die het verschil zou kunnen verklaren.
De opensource office-pakketten zullen vast minder gebruikt worden dan MS Office. Maar dat wil toch niet zeggen dat deze software slecht is, of er niet toe doet? Het zou wel kunnen zijn dat hackers kiezen voor een pad met veel mogelijkheden (veel Word-installaties met veel bekende kwetsbaarheden) en minder moeite doen om software te misbruiken die minder vaak gebruikt wordt en waarvan minder kwetsbaarheden bekend zijn.
Voor een LibreOffice-user is dit natuurlijk een schijnzekerheid.

N.B. Ik kan even niet zo snel een link vinden, maar LibreOffice/OpenOffice werd door het leger ondersteund bij het inbouwen van veiligheidsfuncties.
Er is dus wel een zekere inspanning om de software veilig te houden.
Ha inderdaad ja als hacker of ransomware maker wil je bedrijven en ondernemers aanvallen en die hebben allemaal wel Office.

Net zo goed dat er minder Kia's worden gestolen dan BMW's.
Ik heb IE verwijderd van mij computer... ben ik dan hiervoor beschermd?
(naja, CCleaner geeft nog steeds IE-bestanden te verwijderen, dus waarschijnlijk niet)

Is deze IE-ellende dan dadelijk eindelijk helemaal over met Windows 11?!
Nee want IE betekend iets heel anders dan MSHTML, waar het issue ligt.

Simplistisch, IE is de grafische schil om MSHTML heen. Als je de schil weggooit blijft de engine nog staan.
De engine wordt namelijk in meer onderdelen gebruikt dan de browser IE.

En nee, Windows 11 verbeterd niets, nul, noppes, nada aan. Helaas, wat mij betreft hadden ze niet wel wat steviger op mogen doorpakken met een nieuw OS. (ja, ik ben nog steeds nijdig dat Win10 de laatste zou zijn en een paar jaar later 11 komt met nauwelijks (geen nuttige?) nieuwe features)
Microsoft heeft steeds verwezen naar hardware compatibiliteit en -functionaliteit om het ondersteuningsvenster voor Windows 10 te definiëren. Het verbaast me niks dat ze net dat ook aangrijpen om hun Windows 11 in de markt te zetten. Geloven dat er geen nieuwe windowsversie komt, is sowieso naïef, Winodws is gewoon een te goeie melkkoe.
Langs de ene kant biedt Windows 11 wel wat leuke nieuwe dingen, aan de andere kant is het een terechte vraag welke (nieuwe) features een (nieuw) OS moet hebben. Wat de eindgebruiker ziet is tenslotte maar een oppervlakkig deel van het OS dat bestaat uit een samenraapsel van software (explorer, notepad,..). De echte kracht van een OS zit natuurlijk juist onder de motorkap.
Ik snap wel dat er een nieuwe zou komen, maar ik wat iets vernieuwends verwacht. En niet zó snel.

Iets wat grondig anders zou zijn. Niet letterlijk, maar wel wat grote wijzigingen. Bijvoorbeeld geen compatabiliteit meer met x86, cmd eruit powershell only, MSHTML er volledig uit enz enz.
cmd eruit powershell only
Als ze dat flikken wil ik enkel nog linux. Cmd eruit en een fatsoenlijke nieuwe command-shell is prima, maar powershell is gewoon een wangedrocht als command-shell en alleen geschikt is voor massale scripting.

Get-DecentShellPlease, I don't want to Get-ChildItem voor een dirlist... en nee, ls is geen command van powerhell, maar een alias naar Get-ChildItem (net als dir) en beiden zijn ernstig gemankeerd en geven bij het minste of geringste (dir/b, ls -ltr) een dikke vette getChildItem processingerror.
Op zich zijn de harde requirements voor tpm ed juist wel te beschouwen als een echte feature. Hoewel gelijkaardige beveiliging ook met bv Windows 10 haalbaar is, kon MS dat onmogelijk enforcen. Dat terwijl er wel degelijk voordelen te behalen zijn.
Er zijn ook significante veranderingen 'under the hood' en bovendien een (nog maar eens half geïntegreerde?) nieuwe UI 'look and feel' en wat nieuwe integraties (voor of tegen). Hier een nieuw OS van maken is wellicht nog steeds een commerciële keuze, maar mijns inziens wel verdedigbaar.
Voor de gemiddelde gebruiker zal Windows 11 er 'anders' uitzien, en (hopelijk) beter presteren...
Gezien het feit dat Windows versies om en om hit or miss zijn lijkt het me verstandig om W11 gewoon over te slaan en te wachten op W12. Die zal dan ook wel weer komen.
Weet je, ik denk dat je helemaal gelijk hebt :)
W11 wordt degene waar je een nieuwe CPU voor moet kopen.
Vanuit milieu-oogpunt verdient deze strategie een keihard verbod.
Ja uiteraard, maar ik had het niet zó snel verwacht en met verassend vernieuwende features zoals ik hierboven net schreef.
Is deze IE-ellende dan dadelijk eindelijk helemaal over met Windows 11?!
Nope... Ook Windows 11 heeft nog IE ingebakken omdat o.a. Office (vandaar dit 'nieuws') daar nog gebruik van maakt.
Weer zo'n typisch geval van 'MS legacy soep forever'! :+
Er valt van alles over te zeggen over die legacy soep. Vanuit een security standpunt is dit natuurlijk dweilen met de kraan open, maar vanuit user friendliness gezien is legacy support toch echt gewenst.

Ik moest laatst werken op een iMac uit 2013. Waar mijn Windows pc uit zelfs 2007 prima geschikt is om remote desktop op te gebruiken, is het op die iMac uit 2013 niet meer mogelijk, want de "app" ondersteund dat oude OS niet meer en geen mogelijkheid om te upgraden (zonder omwegen). Waar mijn Windows pc uit 2007 Windows 10 met gemak draait.

Gezien Windows vrijwel het meeste gebruikt wordt en veel bedrijven software hebben (laten) ontwikkel(d)(en) die specifiek voor dat OS zijn en waar ze vaak vanaf hangen, is het de logische stap van Microsoft om legacy support te behouden. Doen ze dat niet, is er bij een upgrade weinig redenen om weer voor Windows te kiezen.

Ik denk dat Microsoft met de stap naar Windows 11 al een gewaagde zet heeft gemaakt waar ze veel klanten mee kunnen verliezen.
Er valt van alles over te zeggen over die legacy soep. Vanuit een security standpunt is dit natuurlijk dweilen met de kraan open, maar vanuit user friendliness gezien is legacy support toch echt gewenst.
Altijd maar blijven dweilen met de kraan open v.w.b. security zal ik nooit
'jammer maar helaas, dat gebrek aan security is gewoon nodig voor user friendliness' gaan noemen...
Dat MS dit voor elkaar gekregen heeft toont in mijn ogen aan hoe ellenlange afhankelijkheid van 1 partij uiteindelijk blind maakt voor de problemen die dit met zich meebrengt.
Ik moest laatst werken op een iMac uit 2013. Waar mijn Windows pc uit zelfs 2007 ...
Blijven werken met 'oude meuk hardware' is, en al helemaal als het is om maar 'oude meuk software' te kunnen blijven draaien, wachten op problemen (in 1 of beide) die al snel (veel) duurder gaan uitpakken dan je zaken bij de tijd houden.
Ik heb ooit met bedrijfskritische homemade software van ongeveer 20 jaar geleden op een ongeveer 15 jaar oude PC moeten werken omdat het zogenaamd "niet anders kon" maar ondertussen wel schermen met 'ultramoderne productiefaciliteiten', tjsa, wat aan die PC hing was inderdaad wel ultramodern ja... :+
Veel bedrijven hebben een IT budget van 0 euro. Het is gewoon heel simpel als Microsoft moeilijk had gedaan bleven die bedrijven op Windows XP om hun 20 jaar oude boekhoud software te draaien.
Altijd maar blijven dweilen met de kraan open v.w.b. security zal ik nooit
'jammer maar helaas, dat gebrek aan security is gewoon nodig voor user friendliness' gaan noemen...
Dat is jouw interpretatie ervan. Legacy betekent dat je klanten kunnen blijven werken, het staat niet gelijk aan gebrek aan security. Het betekent wel dat er iets meer onderhoud gepleegd moet worden.
Natuurlijk! Maar dan moet je ook eerlijk zijn en toegeven dat iets als ActiveX 'zo oud is als de weg naar Rome' (en zo lek als de overblijfselen van viaducten uit die tijd...). MS had al lang geleden kunnen (en, security technisch gezien, moeten) beginnen met vervangen van vele brakke onderdelen op een graduele en voor iedereen acceptabele manier. Zolang gebruikers van MS software geen andere opties zien of willen overwegen kan MS hun 'gebruiksvriendelijke lekke mandjes' aan deze gebruikers blijven verkopen zonder überhaupt over 'gebruiksvriendelijke EN meer lek-proof mandjes' na te hoeven denken.

Naar mijn mening inderdaad op zich niet perse iets mis met legacy dus, maar met de 'MS manier van legacy' te vaak wel. Wij hoeven hier echt geen excuses voor een MegaCorp als MS te gaan verzinnen, MS moet veilige EN gebruikersvriendelijke software maken maar verdient zijn geld veel te gemakkelijk om zich daar echt druk over te maken.

[Reactie gewijzigd door HuisRocker op 9 september 2021 16:34]

Even voor mijn beeldvorming, welk macOS Versie draai je op die iMac? En begrijp ik nou goed dat je Microsoft Remote Desktop erop probeert te draaien?
Want de laatste versie van MS Remote Desktop (vanuit de App Store) draait op macOS 10.14, wat prima zou moeten draaien op jouw iMac (kan tot macOS 10.15 op).
Maar wellicht bedoel je wat anders.
Haha dat is t m juist 10.13 is de laatste ondersteunde OS versie voor die iMac. Heb al oudere versies vd app geprobeerd en hoewel die wel start, werkt die niet 🤣. Maar dat terzijde, in principe zou een apparaat van 10 jaar oud niet al zo afgeschreven mogen zijn. Bij telefoons en tablets vind ik dat snel al een ander verhaal, maar bij een desktop pc/mac kan dat imo echt niet.

En zeker niet voor zoiets simpels als RD, wat zelfs een browser kan.

[Reactie gewijzigd door jimzz op 9 september 2021 11:01]

Ah ok, dan heb je dus een iMac uit max 2011 (2012 kan nog 10.15 draaien, daar heb ik er ook nog 2 van) ;) Maar het is idd maar 2 jaar verschil... en ik begrijp je standpunt hoor!

Je kan het van 2 kanten zien. Apple gaat nieuwere macOS niet ondersteunen ivm ontbreken van Metal ondersteuning van de grafische kaart (en zoals je al eerder met truukjes soort van werkend te krijgen), maar Microsoft heeft de vereiste van macOS 10.14 op de App (had technisch ook niet gehoeven).
Klopt ook wel, maar toch. Merk dat dat vaak gebeurt bij software op een Mac, terwijl ze technisch gezien dit met gemak aan zouden moeten kunnen.
Ik denk dat Microsoft met de stap naar Windows 11 al een gewaagde zet heeft gemaakt waar ze veel klanten mee kunnen verliezen.
Vind dit een overdreven uitspraak, Windows 10 wordt nog tot oktober 2025 ondersteund en er zijn nog zat mensen die gebruikmaken van Windows XP en Windows 7 ondanks dat deze geen officiële ondersteuning meer krijgen. In juni 2021 was het percentage mensen dat nog gebruikmaakt van oudere Windows-versies dan 10 nog iets van 20%.

Dus het zal wat dat betreft wel loslopen hoeveel mensen geen Windows meer gaan gebruiken. Een groot deel van de mensen die momenteel nog geen apparaat hebben met TPM 2.0 en andere vereisten voor Windows 11 zullen dat vast wel hebben in 2025 of ze gebruiken registry tweaks en e.v.t. andere apps om updates toch te slipstreamen ondanks dat het apparaat niet officieel ondersteund wordt.

Daarnaast kan Microsoft er altijd nog voor kiezen om de supportdatum verder uit te stellen zoals ze dat geloof ik bij Windows XP ook hebben gedaan.
nee want het gerucht gaat dat ook de IE-engine ook aanwezig is in Windows 11.
Je denkt het verwijderd te hebben maar dat is dus niet zo.
eh... Mshtml deleten?
Misschien zie ik het te simpel, maar da's m'n eerste idee; ik wil he-le-maal-niets meer van IE in m'n huidige Win10 installatie zien!
Het is ook een beetje onhandig verwoord in het artikel.

mshtml (ook wel Trident genoemd) is de html-renderengine die door Internet Explorer wordt gebruikt, maar ook door allerlei andere onderdelen van het besturingssysteem. Het is 'voor' Internet Explorer ontworpen, maar niet per se een onderdeel van Internet Explorer. (al kan de één niet zonder de ander)

Toen zoveel jaar geleden Microsoft onder vuur lag omdat zij Internet Explorer gratis bij het besturingssysteem leverden, was het verweer van Microsoft dat het een integraal onderdeel van het besturingssysteem was. Hiermee doelden ze dan ook op onder andere mshtml. Niet zo zeer om de iexplore.exe.
Dan kan je dus geen mail meer zien in Outlook, althans, als het mooier moet zijn dan plain text.

Ook de meeste help files zijn dan onbereikbaar geworden, Visual Studio geeft issues in onderdelen en gebruikers die nog (prive) Skype gebruiken kunnen dan ook minder.

Ook moet je weten dat MSHTML niet gelijk is aan Internet Explorer. Net zoals Blink in Chrome(ium) en WebKit in Apple's Safari.
Ik zie dat Windows 11 en Windows Server 2022 beiden niet genoemd zijn. Zijn die niet meegenomen in het artikel of zijn ze niet kwetsbaar?

Ik kan me voorstellen dat Windows 11 buiten beschouwing gelaten wordt gezien het een beta betreft, maar ik denk toch dat stiekem best wat mensen Windows 11 al hebben draaien. Gewoon om het uit te proberen.
Windows 11 is nog in Beta, en de kwetsbaarheid zit in office, ik denk dat alle versies waar je office 365 of 2019 op kan draaien een issue hebben.

Maar eigenlijk is dit een office zero day, geen windows zero day.
voor zover ik kan opmaken uit het artikel zit de kwetsbaarheid in IE, waar Office gebruikt van maakt voor browserrender.
Dus niet in Windows, niet in Office, maar in IE. Diep vertakt in Windows.

IE zit ook in Windows 11.

Het lijkt dan een Office-aanval, maar dat komt alleen omdat het iets is in IE en aangezien Windows zoveel mogelijk probeert om Edge als standaard browser in te stellen lijkt de impact lager, maar Office grijpt dus specifiek terug op IE.

[Reactie gewijzigd door tyrunar op 8 september 2021 20:11]

Het is wat muggenzifterij, maar het is toch echt MSHTML en niet Internet Explorer.

MSHTML is de render engine die in vele componenten gebruikt wordt, zie IE maar als een grafische schil eromheen. (https://en.wikipedia.org/wiki/Trident_(software))

Bonus feit:
Wat ik niet wist is dat EdgeHTML een fork is van MSHTML. Niet nuttig meer, maar wel leuk toch? :)
En oudere versies zijn niet kwetsbaar, of niet getest? ActiveX en IE zijn al sinds 2015 gestopt.
ActiveX en IE zijn al sinds 2015 gestopt.
Nope... Office 365 + 2019 maken dus nog vrolijk gebruik van die legacy ellende, anders was dit 'nieuws' nooit ontstaan uiteraard.
Server 2022 staat wel degelijk op de lijst!
Zie: https://msrc.microsoft.co...nerability/CVE-2021-40444

Maar dit probleem lijkt toch echt in Office te zitten, dus ga er ook maar van uit dat deze bug in eerdere versies van Office ook zitten en op eerdere - maar niet meer ondersteunde - Windows versies van toepassing is.
Microsoft zet normaal gesproken ook enkel in hun CVE's de producten die op dit moment officieel ondersteund worden, een ene Windows XP hoort daar natuurlijk niet meer bij, maar producten die in bèta zijn zoals Windows 11 blijkbaar ook niet(?)
Mag ik aannemen dat het dan via Defender voor Office365 ook veilig bent?

[Reactie gewijzigd door HKLM_ op 8 september 2021 19:46]

Zelfde vraag hier.
Beschermd Microsoft Defender for Office 365 Plan 1 tegen deze foute .docx bestanden? (worden ze al op exchange gedetecteerd en verwijderd?)
De CVE van Microsoft meld: "Microsoft Defender Antivirus and Microsoft Defender for Endpoint both provide detection", waarbij de eerst standaard met Windows wordt meegeleverd. Dus tenzij je dit zelf (of door een 3rd party antivirus) hebt uitgezet én up-to-date bent (detection build 1.349.22.0 or newer), ben je veilig.
Dat zijn andere producten dan Subigo en Triblade noemen/bedoelen. Zij bedoelen de emailprotectie in Exchange Online, niet AV of Endpoint.

[Reactie gewijzigd door PhaeTom op 9 september 2021 11:34]

Zoals ik het begrijp betreft dit een lokaal risico. Vandaar dat de lokale Defender wordt benoemd als middel. Defender for 365 zorgt ervoor dat files (beter) worden gescand en tegengehouden voordat ze op je device komen en staat dus eigenlijk los van dit issue. Garanties dat je geen risico loopt zul je nergens krijgen, je bent wel beter beschermd met Defender for Office 365, aangezien gevaarlijke bestanden kunnen worden tegengehouden. Denk bijvoorbeeld ook aan de situatie waar een user ff snel een attachment download van Gmail op zijn werkdevice, dan gaat het compleet langs de Exchange Online heen.

[Reactie gewijzigd door PhaeTom op 9 september 2021 11:46]

De techgigant biedt wel een workaround. Gebruikers kunnen de installatie van alle ActiveX-elementen in Internet Explorer uitschakelen in de registry.
Behoorlijk verrassend dat Microsoft deze work-around uitbrengt, terwijl het een behoorlijke niche betreft: voor de aanval moet
1) én Protected View- en Application Guard-modus uitgeschakeld zijn;
2) én Windows Defender niet draaien.

Je zou ook kunnen stellen "zorg dat jouw beveiliging op punt staat" (waarmee je direct ook van een heleboel andere vervelende meuk verlost bent).

UPDATE: "niet" toegevoegd bij punt 2... Dat was inderdaad misleidend @Dark Angel 58, bedankt om het op te merken @CivLord!

[Reactie gewijzigd door edeboeck op 9 september 2021 19:11]

[...]
Behoorlijk verrassend dat Microsoft deze work-around uitbrengt, terwijl het een behoorlijke niche betreft: voor de aanval moet
1) én Protected View- en Application Guard-modus uitgeschakeld zijn;
2) én Windows Defender draaien.
Serieus??? Protected View- en Application Guard-modus uitschakelen??? Omdat Windows Defender daar niet kan scannen als ze aanstaan?
Nee. Punt 2 had moeten zijn: én Windows Defender niet draaien.

Je bent alleen bevattelijk voor deze exploit wanneer je én de bescherming van Office uitschakelt én Windows Defender uitschakelt. In die situatie ben je alsnog beschermt wanneer je work-around implementeert door ActiveX uit te schakelen.
Ik gebruik Mac en Office 365, en dus geen Windows defender. Ben ik dan ook kwetsbaar? Lijkt mij van niet toch, omdat mshtml denk ik nergens wordt gebruikt?
Goede vraag, dat wil ik ook graag weten :)
Nee: "Microsoft is investigating reports of a remote code execution vulnerability in MSHTML that affects Microsoft Windows."
Microsoft wilde ons zo graag naar hun Edge-browser hebben maar ze zijn dit mechanisme blijkbaar vergeten over te zetten van IE naar Edge. Jammer weer.

Zal me overigens niet verbazen als het eerder gepatched is voor O365 dan voor Office 2019 }>
Edge ondersteunt geen ActiveX, wat hoogstwaarschijnlijk de reden is dat Office is blijven hangen op mshtml.
Windows Explorer gebruikt het helaas ook nog steeds.
Hopelijk dat de patch voor Office 2019 ook 2016 wil updaten. Verschil Office 2016 / 2019 lijkt enkel het opstartscherm te zijn.
Lekker naïef om gewoon IE met alle meuk in office nog als webview te gebruiken.
waaaaacht, even voor mijn duidelijkheid, wat heeft het omzetten van IE naar edge in jouw ogen te maken met de standaard migratie van je desktopbrowser.

het zou toch bijzonder gek (en ongelofelijk ongewenst) zijn wanneer bepaalde documenten met embedded webviews ineens niet (of totaal anders) zouden werken.

de IE core is een ding dat een enorme berg legacy met zich meebrengt en waar je als MS niet zomaar vanaf kunt, op een bepaald moment zal men deze functie wel gaan verwijderen of komt er een automatische functie om dergelijke views voortaan in chromium te renderen al dan niet met een vertaal/debug-laag. maar in een officepakket dat zo bedrijfskrtisch is gaat dat met veel meer testen gepaard dan in browserland waar sys-admins veel meer mogelijkheden hebben om zelf legacy support (of alternatieve browsers) te implementeren.
ze hebben de gok wel degelijk gewaagd. Constant gebruikertje (en dus sysadminnetje) pesten door de standaard browser regelmatig gewoon brutaal weer op (oude) Edge te zetten ipv IE zelfs als je als beheersorganisatie had aangegeven IE als standaard browser te willen (ivm legacy webapplicaties).

Ja dan verwacht ik ook dat ze onderliggende structuren ook omzetten naar (de nieuwe) Edge.
Het is me te makkelijk om aan de voorkant wel alvast de boel te gaan forceren naar Edge maar ondertussen andere kernonderdelen gewoon te bestempelen als 'oh dat komt later wel'.

If something is worth doing, it's worth doing well.

Nu zitten ze met weer een CVE'tje. Omdat ze het op de lange baan hadden geschoven.
Ze hebben de gok juist niet gewaagd.

Wat mij betreft had een écht nieuw OS, zoals Windows 11, grondig op de schop gekund waarbij o.a. de render engine vervangen zou worden.

Hoewel ik het niet met je eens ben met je mening, vind ik wél dat MS hier ondertussen verder in had mogen zijn.
Dat had wel gekund, maar dan waren alle applicaties die afhankelijk waren van mshtml, waaronder ook Office, incompatible. Zegmaar het gros van de Windows applicaties.
komt waarschijnlijk omdat mensen op de werkvloer er last van hebben. Elke keer weer de default browser moeten terugzetten op IE. Zal dus wel een feest van herkenning zijn.
Valt me nog mee dat je niet noemt dat ik Microsoft beschuldig van ouwe meuk terwijl mijn hele frustratie draait om het in stand houden van ouwe meuk aan de gebruikerskant zelf namelijk die oude webapplicaties die alleen op IE kunnen draaien :P

[Reactie gewijzigd door tyrunar op 9 september 2021 08:22]

Heb bij ons in de zakelijke infra al meerdere keren moeten klooien(inmiddels blijkt 3rd party tool daar beter in te zijn dan de officiële documentatie --> xml) om Firefox weer de default browser te maken en niet Edge(die we uiteraard ook het systeem hebben staan en updaten). Of het nu sysadmin pesten is, dat weet ik niet, maar Edge is net als Teams een pakket met handleiding waarbij logica van hoe het werkt ontbreekt en het gewoon niet lijkt op andere MS producten wat dat betreft.
Wellicht dat W10 ondersteuning - na W11 introductie - ook een versnelde uitfasering gaat krijgen.
Afgelopen dagen heb ik al 2 mailtjs binnen gehad met dat virus er in (van bekenden, officiele mailtjes) , gelukkig houdt m'n eigen mailserver het tegen.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee