Sicherheitsforscher sind auf eine kritische Sicherheitslücke im Textverarbeitungsprogramm Microsoft Word gestoßen. Damit lassen sich von Angreifern präparierte Word-Dateien erstellen, die automatisch Schadcode aus dem Internet herunterladen und ausführen. Bisher gibt es keinerlei Schutz oder Updates seitens Microsoft. Betroffen sind allerdings offenbar nur ältere Versionen von Microsoft Office.
Zero-Day-Sicherheitslücke in Microsoft Office
Wie Sicherheitsforscher von nao_sec vermelden, gibt es aktuell eine gefährliche Zero-Day-Sicherheitslücke in Microsoft Office, gegen die offenbar noch kein Kraut gewachsen ist. Das Deaktivieren von Makros scheint nicht zu helfen. Auch ein Update seitens Microsoft steht noch aus.
Betroffen sind allerdings offenbar nur ältere Office-Versionen. Die aktuelle Fassung der Microsoft Office-Suite, sowie die Pakete aus dem Insider-Channel verhindern die Ausnutzung des Exploits offenbar. Helfen kann auch die „geschützte Ansicht“ beim Öffnen des Dokuments. Wer diese jedoch deaktiviert, ist den Angriffen schutzlos ausgeliefert.
Mithilfe eines Word-Dokuments können Angreifer schädlichen Code aus dem Internet laden und ausführen. Lokale Administratorrechte sind zur Ausnutzung des Zero-Day-Exploits zudem ebenfalls nicht notwendig.
Das Positive: Bislang wurden laut den Forschern nur wenige Angriffe verzeichnet. Betroffen waren vor allem Nutzerinnen und Nutzer in Belarus.
Welche Funktion ist betroffen?
Betroffen von der Zero-Day-Sicherheitslücke ist vor allem die Remote-Template-Funktion von Microsoft Word, mit der externe Links als HTML-Dateien aus dem Netz heruntergladen werden. Werden diese mithilfe von ms-msdt geöffnet, um so PowerShell Code auszuführen.
In einem Twitter-Thread erklärt IT-Sicherheitsforscher Kevin Beaumont, was es damit auf sich hat. Mithilfe von ms-msdt werden beispielsweise auch Microsoft Protokolle direkt aus Emails in Outlook geladen.
Am 29. Mai veröffentlichte er eine Zusammenfassung der Problematik, in der er detailliert auf das Problem eingeht. Hier sieht er vor allem das größte Problem darin, dass Microsoft Word den Code mithilfe des Support-Tools msdt ausführt und das selbst dann, wenn Makros deaktiviert wurden.
Zwar schafft hier die geschützte Ansicht Abhilfe, allerdings können Angreifer dies leicht umgehen, indem das Dokument im RTF-Format abgelegt wird und dann sogar ausgeführt würde, ohne das Dokument überhaupt erst öffnen zu müssen – über den Vorschau-Tab im Explorer.
Laut eigener Aussage konnte Beaumont das Skript in Windows 10 ohne lokale Adminrechte mit deaktivierten Markos, Windows Defender und Office 365 Semi-Annual Channel ausführen, um testweise den Taschenrechner zu öffnen.
Die Anfälligkeit bestand weiterhin auch in Office 2013 und 2016, weshalb er vor allem ein Problem bei vielen Firmen sieht, die noch ältere Office-Versionen nutzen. Immerhin die gute Nachricht: „Mit der Insider- und aktuellen Version von Office konnte ich das Skript nicht ausführen – was darauf hindeutet, dass Microsoft irgendwas getan oder zumindest die Anfälligkeit versucht hat zu beheben, ohne dies zu dokumentieren.“
No replies yet
Neue Antworten laden...
Gehört zum Inventar
Beteilige dich an der Diskussion in der Basic Tutorials Community →