Microsoft-Office-Anwendungen in Q2 2022: Nutzer vermehrt über nicht-gepatchte Schwachstellen angegriffen

Im zweiten Quartal 2022 stieg die Anzahl der Exploits für Schwachstellen in der Microsoft-Office-Suite, sie machten 82 Prozent der Exploits auf verschiedenen Plattformen und Software wie Adobe Flash, Android oder Java aus. Dabei waren im vergangenen Quartal fast 547.000 Nutzer von entsprechenden Schwachstellen in alten Anwendungsversionen betroffen. Des Weiteren ist die Zahl der Nutzer, die von der Schwachstelle Microsoft MSHTML Remote Code Execution – die zuvor bei zielgerichteten Angriffen entdeckt wurde – betroffen sind, um das Achtfache gestiegen. Diese Ergebnisse gehen aus dem aktuellen Malware-Report von Kaspersky hervor [1].

Nicht-gepatchte Schwachstellen können von Cyberkriminellen für Angriffe verwendet werden. So zeigen Kaspersky-Analysen, dass Exploits für die Schwachstelle CVE-2021-40444 [2] verwendet wurden, um im zweiten Quartal 2022 fast 5.000 Nutzer anzugreifen – achtmal mehr als im ersten Quartal dieses Jahres. Diese Zero-Day-Schwachstelle in der MSHTML-Engine des Internet Explorer wurde erstmals im September 2021 gemeldet. Bei der Engine handelt es sich um eine Systemkomponente, die von Microsoft-Office-Anwendungen zur Verarbeitung von Web-Inhalten verwendet wird. Mit der Schwachstelle ist es Angreifern möglich, schädlichen Code auf den Computern der Betroffenen remote auszuführen.

Laut Kaspersky-Telemetriedaten wurde CVE-2021-40444 zuvor bei Angriffen auf Organisationen in den Bereichen Forschung und Entwicklung, Energie und Industrie, Finanz- und Medizintechnik sowie Telekommunikation und IT ausgenutzt.

„Da die Schwachstelle recht einfach ausgenutzt werden kann, erwarten wir eine Zunahme entsprechender Angriffe“, prognostiziert Alexander Kolesnikov, Malware-Analyst bei Kaspersky. „Cyberkriminelle erstellen schädliche Dokumente und bringen ihre Opfer mittels Social-Engineering-Techniken dazu, diese zu öffnen. Die Microsoft-Office-Anwendung lädt dann ein schädliches Skript herunter und führt es aus. Um sich zu schützen, sollten der Patch des Anbieters installiert und Sicherheitslösungen verwendet werden, die die Ausnutzung von Sicherheitslücken erkennen. Unternehmen sollten zudem ihre Mitarbeiter auf aktuelle Cyberbedrohungen aufmerksam machen.“

Ältere Versionen der Microsoft-Office-Suite sind eine Einladung für Angreifer

Des Weiteren nutzen Cyberkriminelle auch alte Schwachstellen für ihre Zwecke. Die beiden Schwachstellen CVE-2018-0802 [3] und CVE-2017-11882 [4] sind bereits seit einigen Jahren bekannt. Dennoch betrafen Angriffe über diese beiden Schwachstellen den Großteil der angegriffenen Nutzer im zweiten Quartal. Gegenüber dem ersten Quartal verzeichneten diese einen leichten Anstieg. Sie wurden verwendet, um mehr fast 487.000 Nutzer über ältere Versionen von Microsoft-Office-Suite-Programmen anzugreifen. Durch Ausnutzung dieser Schwachstellen verteilten Angreifer schädliche Dokumente, um den Speicher der Formel-Editor-Komponente zu beschädigen, und führten auf dem Computer des Opfers schädlichen Code aus.

Darüber hinaus stieg die Zahl der von CVE-2017-0199 [5] betroffenen Nutzer um 59 Prozent auf über 60.000 an. Bei erfolgreicher Ausnutzung dieser Schwachstelle können Angreifer den Computer eines Opfers kontrollieren und Daten ohne dessen Wissen anzeigen, ändern oder sogar löschen.

Nutzer in der DACH-Region vermehrt von CVE-2021-40444 betroffen

Während die Ausnutzung der älteren Schwachstellen CVE-2017-0199, CVE-2017-11882 CVE-2018-0802 im Vergleich zum ersten Quartal abnahm, nutzten Angreifer im zweiten Quartal verstärkt die Schwachstelle CVE-2021-40444 aus. In Deutschland und der Schweiz wurden Zunahmen von 84 beziehungsweise 89 Prozent verzeichnet. In Österreich stieg die Anzahl betroffener Nutzer von null auf 15.

Kaspersky-Empfehlungen zum Schutz vor der Ausnutzung von Schwachstellen

• Das SOC-Team sollte stets Zugriff auf die neuesten Bedrohungsinformationen, inklusive der von Angreifern verwendeten TTPs, haben. Das Kaspersky Threat Intelligence Portal [6] ist ein zentraler Zugangspunkt für die Threat Intelligence des Unternehmens und bietet Daten und Erkenntnisse zu Bedrohungen, die Kaspersky in den vergangenen 20 Jahren gesammelt hat. Um Unternehmen dabei zu helfen, wirksame Abwehrmaßnahmen zu ergreifen, bietet Kaspersky den kostenlosen Zugang zu unabhängigen, ständig aktualisierten und weltweit bezogenen Informationen zu laufenden Cyberangriffen und -bedrohungen an. Der Zugang kann hier angefordert werden https://tip.kaspersky.com/
• Eine Sicherheitslösung verwenden, die eine Komponente für Schwachstellen-Management-bietet. Die automatische Exploit-Prävention in Kaspersky Endpoint Security for Business [7] überwacht verdächtige Aktionen von Anwendungen und blockiert die Ausführung schädlicher Dateien.
• Lösungen wie Kaspersky Endpoint Detection and Response [8] und Kaspersky Managed Detection and Response [9] implementieren, die Angriffe in einem frühen Stadium erkennen und blockieren, bevor die Angreifer ihre Ziele erreichen können.

Weitere Informationen sind verfügbar unter https://securelist.com/?p=107133

[1] https://securelist.com/?p=107133

[2] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-40444

[3] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2017-0199

[4] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2017-11882

[5] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2017-0199

[6] https://www.kaspersky.de/enterprise-security/threat-intelligence

[7] https://www.kaspersky.de/enterprise-security/endpoint

[8] https://www.kaspersky.com/enterprise-security/endpoint-detection-response-edr

[9] https://www.kaspersky.com/enterprise-security/managed-detection-and-response

Nützliche Links:

• Kaspersky-Analyse: https://securelist.com/?p=107133
• Kaspersky Threat Intelligence: https://www.kaspersky.de/enterprise-security/threat-intelligence
• Kaspersky Managed Detection and Response: https://www.kaspersky.com/enterprise-security/managed-detection-and-response