[Warning] Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution - noch keine Updates verfügbar
Robert Waldner
waldner at cert.at
Mon Apr 10 12:42:22 CEST 2017
10. April 2017
Wie McAfee berichtet, gibt es aktuell eine schwerwiegende Lücke mit
Microsoft Office und RTF-Dokumenten.
Beschreibung
Wenn ein Benutzer eine speziell präparierte Datei im Microsoft
Word-Format (".doc", mit RTF-Inhalt) öffnet, kann in Folge ein
Angreifer beliebigen Code, mit den Rechten des angemeldeten
Benutzers, auf dem System ausführen.
Entsprechende Angriffe scheinen seit zumindest Jänner 2017
durchgeführt zu werden. Da die Methode nun öffentlich bekannt ist,
ist anzunehmen, dass entsprechende Dateien bald massenhaft per zB
Spam-Mail verteilt werden.
Auswirkungen
Über diesen Fehler kann potentiell beliebiger Code auf den
betroffenen Systemen ausgeführt werden. Es sind alle Daten auf
diesen Systemen, sowie potentiell alle durch diese erreichbaren
(etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.
Betroffene Systeme
McAfee gibt an, dass alle Versionen von Microsoft Office, inkl.
Office 2016 auf Windows 10, für diese Lücke anfällig sind.
Abhilfe
Es stehen noch keine Updates zur Verfügung.
Laut McAfee ist eine wirksame Massnahme, den "Protected View" von
Microsoft Office zu verwenden - dieser kann durch diese Lücke nicht
umgangen werden.
Weiters kann es helfen, den Download von .hta-Dateien auf Proxies
etc. zu blockieren.
Sollten wir zu einem späteren Zeitpunkt über mehr Informationen
verfügen, werden wir diese Warnung entsprechend updaten - die
aktuelle Version ist immer via https://cert.at/ abrufbar.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, für alle Arten von
Browser-Plugins (Flash, Java, ...) auf die
"Click-to-play"-Funktionalitäten von Internet-Browsern
zurückzugreifen, sowie parallel Firewall-Software aktiv und den
Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Meldung von McAfee (englisch)
https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/
Meldung von FireEye (englisch)
https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa.html
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20170410/853708b8/attachment.sig>
More information about the Warning
mailing list