[Warning] Schwerwiegende Sicherheitslücke in Microsoft OLE - aktiv ausgenützt

[Otmar Lendl]

22. Oktober 2014

Beschreibung

   Microsoft hat im Zuge des Oktober-Patchdays auch ein Update
   herausgegeben, das einen Fehler in Microsoft OLE (CVE-2014-4114)
   korrigieren sollte, der aktiv im Rahmen von APT-Kampagnen ausgenutzt
   wurde.

   Es hat sich jetzt herausgestellt, dass dieser Patch das Problem nicht
   umfassend behoben hat [4]. Andererseits wird von mehreren Seiten
   berichtet, dass aktuell CVE-2014-4114 in einigen aktuellen Kampagnen
   benutzt wird. Konkret gibt Microsoft an, dass mit PowerPoint-Dateien
   bereits gepatchte Systeme angegriffen werden.

   Microsoft hat dazu ein Security Advisory [1] und ein Fix-it Tool [2]
   veröffentlicht.

   Die Schwachstelle betrifft Microsoft Object Linking and Embedding
   (OLE), diese Technik erlaubt das Einbetten von Inhalten einer Anwendung
   in ein Dokument einer anderen Anwendung. Ein typisches Beispiel dafür
   ist eine Excel-Tabelle in einer PowerPoint-Präsentation. Öffnet ein
   Benutzer ein entsprechend präpariertes Dokument, so kann der Angreifer
   beliebigen Code mit den Rechten des angemeldeten Benutzers ausführen.

Auswirkungen

   Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
   ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell
   alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten,
   VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

   OLE wird zwar meist mit Microsoft Office assoziiert, ist aber ein
   generischer Mechanismus im Betriebssystem, der auch von anderen
   Anwendungen verwendet wird. Betroffen sind daher Windows-Versionen,
   nicht spezielle Office-Versionen.
     * Windows Vista Service Pack 2
     * Windows Vista x64 Edition Service Pack 2
     * Windows Server 2008 for 32-bit Systems Service Pack 2
     * Windows Server 2008 for x64-based Systems Service Pack 2
     * Windows Server 2008 for Itanium-based Systems Service Pack 2
     * Windows 7 for 32-bit Systems Service Pack 1
     * Windows 7 for x64-based Systems Service Pack 1
     * Windows Server 2008 R2 for x64-based Systems Service Pack 1
     * Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
     * Windows 8 for 32-bit Systems
     * Windows 8 for x64-based Systems
     * Windows 8.1 for 32-bit Systems
     * Windows 8.1 for x64-based Systems
     * Windows Server 2012
     * Windows Server 2012 R2
     * Windows RT
     * Windows RT 8.1

Abhilfe

   Microsoft rät, bis zum Erscheinen entsprechend gefixter Versionen, zu
   folgenden Gegenmaßnahmen [1]:
     * Installation des bereitgestellten Fix-it Tools.
     * Kein Öffnen von Files aus nicht vertrauenswürdigen Quellen.
     * Installation und Konfiguration des "Enhanced Mitigation
       Experience Toolkit" (EMET) [3].

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

Informationsquellen:

  [1] https://technet.microsoft.com/library/security/3010060
  [2] https://support2.microsoft.com/kb/3010060
  [3] http://technet.microsoft.com/en-us/security/jj653751
  [4]
http://blogs.mcafee.com/mcafee-labs/new-exploit-sandworm-zero-day-bypass-official-patch

-- 
// Otmar Lendl <lendl at cert.at> - T: +43 1 5056416 711
// CERT Austria - http://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20141022/e1c49931/attachment.sig>