News

Kritische Zero-Day-Sicherheitslücke in Microsoft Office entdeckt

Sicherheitsforscher sind auf eine kritische Sicherheitslücke im Textverarbeitungsprogramm Microsoft Word gestoßen. Damit lassen sich von Angreifern präparierte Word-Dateien erstellen, die automatisch Schadcode aus dem Internet herunterladen und ausführen. Bisher gibt es keinerlei Schutz oder Updates seitens Microsoft. Betroffen sind allerdings offenbar nur ältere Versionen von Microsoft Office.

Zero-Day-Sicherheitslücke in Microsoft Office

Wie Sicherheitsforscher von nao_sec vermelden, gibt es aktuell eine gefährliche Zero-Day-Sicherheitslücke in Microsoft Office, gegen die offenbar noch kein Kraut gewachsen ist. Das Deaktivieren von Makros scheint nicht zu helfen. Auch ein Update seitens Microsoft steht noch aus.

Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Weitere Informationen

Betroffen sind allerdings offenbar nur ältere Office-Versionen. Die aktuelle Fassung der Microsoft Office-Suite, sowie die Pakete aus dem Insider-Channel verhindern die Ausnutzung des Exploits offenbar. Helfen kann auch die „geschützte Ansicht“ beim Öffnen des Dokuments. Wer diese jedoch deaktiviert, ist den Angriffen schutzlos ausgeliefert.

Mithilfe eines Word-Dokuments können Angreifer schädlichen Code aus dem Internet laden und ausführen. Lokale Administratorrechte sind zur Ausnutzung des Zero-Day-Exploits zudem ebenfalls nicht notwendig.

Das Positive: Bislang wurden laut den Forschern nur wenige Angriffe verzeichnet. Betroffen waren vor allem Nutzerinnen und Nutzer in Belarus.

Welche Funktion ist betroffen?

Betroffen von der Zero-Day-Sicherheitslücke ist vor allem die Remote-Template-Funktion von Microsoft Word, mit der externe Links als HTML-Dateien aus dem Netz heruntergladen werden. Werden diese mithilfe von ms-msdt geöffnet, um so PowerShell Code auszuführen.

In einem Twitter-Thread erklärt IT-Sicherheitsforscher Kevin Beaumont, was es damit auf sich hat. Mithilfe von ms-msdt werden beispielsweise auch Microsoft Protokolle direkt aus Emails in Outlook geladen.

Am 29. Mai veröffentlichte er eine Zusammenfassung der Problematik, in der er detailliert auf das Problem eingeht. Hier sieht er vor allem das größte Problem darin, dass Microsoft Word den Code mithilfe des Support-Tools msdt ausführt und das selbst dann, wenn Makros deaktiviert wurden.

Zwar schafft hier die geschützte Ansicht Abhilfe, allerdings können Angreifer dies leicht umgehen, indem das Dokument im RTF-Format abgelegt wird und dann sogar ausgeführt würde, ohne das Dokument überhaupt erst öffnen zu müssen – über den Vorschau-Tab im Explorer.

Laut eigener Aussage konnte Beaumont das Skript in Windows 10 ohne lokale Adminrechte mit deaktivierten Markos, Windows Defender und Office 365 Semi-Annual Channel ausführen, um testweise den Taschenrechner zu öffnen.

Die Anfälligkeit bestand weiterhin auch in Office 2013 und 2016, weshalb er vor allem ein Problem bei vielen Firmen sieht, die noch ältere Office-Versionen nutzen. Immerhin die gute Nachricht: „Mit der Insider- und aktuellen Version von Office konnte ich das Skript nicht ausführen – was darauf hindeutet, dass Microsoft irgendwas getan oder zumindest die Anfälligkeit versucht hat zu beheben, ohne dies zu dokumentieren.“

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Bad Segeberg.

Ähnliche Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Schaltfläche "Zurück zum Anfang"
0
Would love your thoughts, please comment.x