[Warning] Schwerwiegende Sicherheitslücke in Microsoft Office - aktiv ausgenützt

Robert Waldner waldner at cert.at
Tue Mar 25 09:39:25 CET 2014 

25. März 2014

Beschreibung

   Microsoft hat ein Security Advisory zu einer schwerwiegenden
   Sicherheitslücke (CVE-2014-1761) in einer Komponente von Microsoft
   Office veröffentlicht. Die Schwachstelle wird laut Microsoft bereits
   in gezielten Attacken aktiv ausgenützt.

   Die Schwachstelle kann dazu benutzt werden, auf den PCs von
   Benutzern, die ein präpariertes RTF-File öffnen oder betrachten,
   beliebigen Code mit den Rechten des angemeldeten Benutzers
   auszuführen.
   Es ist zu erwarten, dass entsprechende Dateien bald via zum Beispiel
   Spam-Mails verteilt oder auf entsprechenden Webseiten zum Download
   angeboten werden.

   Es besteht auch der Verdacht, dass momentan an Adressen in Österreich
   versandte Spam-Mails mit Subjects wie "A1 Rechnung 5795377 von
   24-03-14" und einem gefälschten Absender der A1 Telekom, genau diese
   Lücke auszunutzen versuchen.

Auswirkungen

   Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
   ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell
   alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten,
   VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

   Systeme, auf denen folgende Versionen von Microsoft Office
   installiert sind, sind betroffen:
     * Microsoft Word 2003 Service Pack 3
     * Microsoft Word 2007 Service Pack 3
     * Microsoft Word 2010 Service Pack 1 (32-bit editions)
     * Microsoft Word 2010 Service Pack 2 (32-bit editions)
     * Microsoft Word 2010 Service Pack 1 (64-bit editions)
     * Microsoft Word 2010 Service Pack 2 (64-bit editions)
     * Microsoft Word 2013 (32-bit editions)
     * Microsoft Word 2013 (64-bit editions)
     * Microsoft Word 2013 RT
     * Microsoft Word Viewer
     * Microsoft Office Compatibility Pack Service Pack 3
     * Microsoft Office for Mac 2011
     * Word Automation Services on Microsoft SharePoint Server 2010
       Service Pack 1
     * Word Automation Services on Microsoft SharePoint Server 2010
       Service Pack 2
     * Word Automation Services on Microsoft SharePoint Server 2013
     * Microsoft Office Web Apps 2010 Service Pack 1
     * Microsoft Office Web Apps 2010 Service Pack 2
     * Microsoft Office Web Apps Server 2013

Abhilfe

   Microsoft rät, bis zum Erscheinen entsprechend gefixter Versionen,
   das Betrachten von RTF-Dateien nur im sogenannten "geschützten
   Modus" zu erlauben, und stellt dazu eine Anleitung sowie ein
   "Fix-it"-Tool zur Verfügung:
     * https://support.microsoft.com/kb/2953095
     *
http://blogs.technet.com/b/srd/archive/2014/03/24/security-advisory-2953095-recommendation-to-stay-protected-and-for-detections.aspx

   Für Firmen-Umgebungen empfehlen wir, bis entsprechende Updates bzw.
   das "Fix-it"-Tool auf allen Clients ausgerollt sind, auf Proxies und
   Mail-Gateways RTF-Dateien von extern zu filtern.

   Weiters rät Microsoft, wo möglich das "Enhanced Mitigation Experience
   Toolkit" (EMET) einzusetzen und für Microsoft Office - Software zu
   konfigurieren.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   * Microsoft Security Advisory 2953095 (englisch)
   https://technet.microsoft.com/en-us/security/advisory/2953095
   * Details zur Benutzung von "Fix-It"-Tools (englisch)
   https://support.microsoft.com/kb/2953095
   * Microsoft Security Research & Defense - Blog zu diesem Thema
     (englisch)

http://blogs.technet.com/b/srd/archive/2014/03/24/security-advisory-2953095-recommendation-to-stay-protected-and-for-detections.aspx
   * Eintrag dazu in der Common Vulnerabilities And Exposures (CVE)
     Datenbank
   http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1761


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 234 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20140325/34673215/attachment.sig>

More information about the Warning mailing list