NSM viser til varsel sendt tidligere denne uken om aktiv utnyttelse av MSHTML-sårbarhet CVE-2021-40444 [1]. En vellykket utnyttelse ved hjelp av Microsoft Office-dokumenter med ondsinnet kode kan føre til at en uautentisert angriper kan fjernkjøre kode på systemet.

Microsoft [2] har informert om at Microsoft Defender detekterer og forhindrer utnyttelse av sårbarheten, og anbefaler å slå av alle ActiveX-kontrollfunksjoner i Internet Explorer. Sistnevnte tiltak har de siste dagene blitt vist av flere ulike sikkerhetsforskere og ivrige sjeler på internett at ikke vil mitigere sårbarheten tilstrekkelig og at systemet fortsatt vil være sårbart for utnyttelse [3]. I tillegg har det kommet nye måter å utnytte sårbarheten på for å unngå beskyttelsen til "Protected View" [4,5].

NCSC er ikke kjent med andre løsninger for å mitigere sårbarheten p.t, men har heller ikke observert eller fått innrapportert aktiv utnyttelse av sårbarheten i Norge.

NCSC anbefaler alle varselmottakere å holde seg oppdatert på de nyeste anbefalingene fra Microsoft [2] og installere sikkerhetsoppdateringer når disse foreligger, forhåpentligvis i førstkommende patchetirsdag 14. september 2021.

Referanser:

[1] NCSC-varsel: Aktiv utnyttelse av MSHTML-sårbarhet CVE-2021-40444

[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

[3] https://twitter.com/GossiTheDog/status/1435570418623070210

[4] https://twitter.com/buffaloverflow/status/1435607956205326336

[5] https://twitter.com/wdormann/status/1435951560006189060