[Warning] Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution - noch keine Updates verfügbar

Robert Waldner waldner at cert.at
Mon Apr 10 12:42:22 CEST 2017 

10. April 2017

   Wie McAfee berichtet, gibt es aktuell eine schwerwiegende Lücke mit
   Microsoft Office und RTF-Dokumenten.

Beschreibung

   Wenn ein Benutzer eine speziell präparierte Datei im Microsoft
   Word-Format (".doc", mit RTF-Inhalt) öffnet, kann in Folge ein
   Angreifer beliebigen Code, mit den Rechten des angemeldeten
   Benutzers, auf dem System ausführen.

   Entsprechende Angriffe scheinen seit zumindest Jänner 2017
   durchgeführt zu werden. Da die Methode nun öffentlich bekannt ist,
   ist anzunehmen, dass entsprechende Dateien bald massenhaft per zB
   Spam-Mail verteilt werden.

Auswirkungen

   Üœber diesen Fehler kann potentiell beliebiger Code auf den
   betroffenen Systemen ausgeführt werden. Es sind alle Daten auf
   diesen Systemen, sowie potentiell alle durch diese erreichbaren
   (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

   McAfee gibt an, dass alle Versionen von Microsoft Office, inkl.
   Office 2016 auf Windows 10, für diese Lücke anfällig sind.

Abhilfe

   Es stehen noch keine Updates zur Verfügung.

   Laut McAfee ist eine wirksame Massnahme, den "Protected View" von
   Microsoft Office zu verwenden - dieser kann durch diese Lücke nicht
   umgangen werden.

   Weiters kann es helfen, den Download von .hta-Dateien auf Proxies
   etc. zu blockieren.

   Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
   verfügen, werden wir diese Warnung entsprechend updaten - die
   aktuelle Version ist immer via https://cert.at/ abrufbar.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, für alle Arten von
   Browser-Plugins (Flash, Java, ...) auf die
   "Click-to-play"-Funktionalitäten von Internet-Browsern
   zurückzugreifen, sowie parallel Firewall-Software aktiv und den
   Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Meldung von McAfee (englisch)

https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/
   Meldung von FireEye (englisch)

https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa.html
-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20170410/853708b8/attachment.sig>

More information about the Warning mailing list