Een nieuwe zero-day kwetsbaarheid, CVE-2021-40444, werd gevonden op de loer in Internet Explorer, waardoor het voor hackers mogelijk wordt om blootgestelde Windows-systemen te misbruiken via kwaadaardige Office-documenten.
Verwant: CVE-2021-36948 Zero-Day in Windows Update Medic misbruikt in het wild
CVE-2021-40444 RCE-fout gebruikt bij gerichte aanvallen
De kwetsbaarheid voor het uitvoeren van externe code, beoordeeld met een CVSS-score van 8.8, komt voort uit de MSHTML (Drietand) eigen browser-engine voor Internet Explorer. De engine wordt ook gebruikt in Microsoft Office om webinhoud in Word weer te geven, Excel, en PowerPoint-documenten. Volgens Microsoft, het beveiligingslek is bewapend in gerichte aanvallen met behulp van speciaal vervaardigde Office-documenten.
“Een aanvaller kan een kwaadaardig ActiveX-besturingselement maken om te worden gebruikt door een Microsoft Office-document dat de browserweergave-engine host. De aanvaller zou dan de gebruiker moeten overtuigen om het schadelijke document te openen. Gebruikers van wie de accounts zijn geconfigureerd om minder gebruikersrechten op het systeem te hebben, kunnen minder worden beïnvloed dan gebruikers met beheerdersrechten," het advies van het bedrijf zegt:.
Het is ook opmerkelijk dat Windows-gebruikers die afhankelijk zijn van automatische updates geen aanvullende actie hoeven te ondernemen om de kwetsbaarheid CVE-2021-40444 aan te pakken. Echter, zakelijke klanten die updates beheren, moeten de detectie-build selecteren 1.349.22.0 of nieuwer en implementeer het in hun omgevingen, voegt het bedrijf.