[Warning] Schwerwiegende Sicherheitslücke in Microsoft OLE - aktiv ausgenützt
Otmar Lendl
lendl at cert.at
Wed Oct 22 11:16:03 CEST 2014
22. Oktober 2014
Beschreibung
Microsoft hat im Zuge des Oktober-Patchdays auch ein Update
herausgegeben, das einen Fehler in Microsoft OLE (CVE-2014-4114)
korrigieren sollte, der aktiv im Rahmen von APT-Kampagnen ausgenutzt
wurde.
Es hat sich jetzt herausgestellt, dass dieser Patch das Problem nicht
umfassend behoben hat [4]. Andererseits wird von mehreren Seiten
berichtet, dass aktuell CVE-2014-4114 in einigen aktuellen Kampagnen
benutzt wird. Konkret gibt Microsoft an, dass mit PowerPoint-Dateien
bereits gepatchte Systeme angegriffen werden.
Microsoft hat dazu ein Security Advisory [1] und ein Fix-it Tool [2]
veröffentlicht.
Die Schwachstelle betrifft Microsoft Object Linking and Embedding
(OLE), diese Technik erlaubt das Einbetten von Inhalten einer Anwendung
in ein Dokument einer anderen Anwendung. Ein typisches Beispiel dafür
ist eine Excel-Tabelle in einer PowerPoint-Präsentation. Öffnet ein
Benutzer ein entsprechend präpariertes Dokument, so kann der Angreifer
beliebigen Code mit den Rechten des angemeldeten Benutzers ausführen.
Auswirkungen
Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell
alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten,
VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Betroffene Systeme
OLE wird zwar meist mit Microsoft Office assoziiert, ist aber ein
generischer Mechanismus im Betriebssystem, der auch von anderen
Anwendungen verwendet wird. Betroffen sind daher Windows-Versionen,
nicht spezielle Office-Versionen.
* Windows Vista Service Pack 2
* Windows Vista x64 Edition Service Pack 2
* Windows Server 2008 for 32-bit Systems Service Pack 2
* Windows Server 2008 for x64-based Systems Service Pack 2
* Windows Server 2008 for Itanium-based Systems Service Pack 2
* Windows 7 for 32-bit Systems Service Pack 1
* Windows 7 for x64-based Systems Service Pack 1
* Windows Server 2008 R2 for x64-based Systems Service Pack 1
* Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
* Windows 8 for 32-bit Systems
* Windows 8 for x64-based Systems
* Windows 8.1 for 32-bit Systems
* Windows 8.1 for x64-based Systems
* Windows Server 2012
* Windows Server 2012 R2
* Windows RT
* Windows RT 8.1
Abhilfe
Microsoft rät, bis zum Erscheinen entsprechend gefixter Versionen, zu
folgenden Gegenmaßnahmen [1]:
* Installation des bereitgestellten Fix-it Tools.
* Kein Öffnen von Files aus nicht vertrauenswürdigen Quellen.
* Installation und Konfiguration des "Enhanced Mitigation
Experience Toolkit" (EMET) [3].
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquellen:
[1] https://technet.microsoft.com/library/security/3010060
[2] https://support2.microsoft.com/kb/3010060
[3] http://technet.microsoft.com/en-us/security/jj653751
[4]
http://blogs.mcafee.com/mcafee-labs/new-exploit-sandworm-zero-day-bypass-official-patch
--
// Otmar Lendl <lendl at cert.at> - T: +43 1 5056416 711
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20141022/e1c49931/attachment.sig>
More information about the Warning
mailing list