Microsoft gibt unter der CVE-2023-36884 an, dass eine Zero Day Lücke in Office existiert, für die es aktuell keinen Patch gibt.
- Kunden die Microsoft Defender for Office einsetzen sind davor geschützt.
- Kunden die Microsoft 365 Apps (Version 2303 und neuer) einsetzen sind davor geschützt.
- Kunden die Defender for Endpoint (mit einer Lizenz die ASR unterstützt) sollen ASR aktiveren.
- Kunden die weder Defender for Endpoint noch Defender for Office nutz, können Registry Werte setzen um die Ausnutzung zu verhindern. Das hat aber auch andere Nebeneffekte.
Microsoft hat eine Phishing Kampagne durch den Angreifer Storm-0978 entdeckt die eine Zero Day Lücke in Office ausnutzt.
Storm-0978 attacks reveal financial and espionage motives | Microsoft Security Blog
Das BSI informiert ebenfalls über diese Lücke
Aktive Ausnutzung einer Zero-Day Schwachstelle in Microsoft Office (bund.de)
Aktiveren der ASR Regeln mittels Intune:
Wenn du unter https://endpoint.microsoft.com auf Endpoint Security gehst, dort auf Attack Surface Reduction sind hier die aktuellen Richtlinien konfiguriert
Block all office apps from creating child processes
Aktivieren der ASR Regeln mittels GPO
Konfiguriere eine GPO für die ASR Regel mit der GUID d4f940ab-401b-4efc-aadc-ad5f3c50688a und dem Wert 1 um diese im Block-Mode zu aktiveren
GPS: Configure Attack Surface Reduction rules (gpsearch.azurewebsites.net)
Alternative: Setzen von Registry Werten umd die Lücke zu schließen
Du kannst auch folgende Registry Werte setzen um die Lücke zu schließen. Aber vorsicht, das hat auch andere negative auswirkungen auf die Apps
Pfad: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION
- Excel.exe
- Graph.exe
- MSAccess.exe
- MSPub.exe
- Powerpnt.exe
- Visio.exe
- WinProj.exe
- WinWord.exe
- Wordpad.exe
Jeweils als DWORD mit dem Wert 1