[Warning] Schwerwiegende Sicherheitslücke in Microsoft Office - aktiv ausgenützt
Robert Waldner
waldner at cert.at
Tue Mar 25 09:39:25 CET 2014
25. März 2014
Beschreibung
Microsoft hat ein Security Advisory zu einer schwerwiegenden
Sicherheitslücke (CVE-2014-1761) in einer Komponente von Microsoft
Office veröffentlicht. Die Schwachstelle wird laut Microsoft bereits
in gezielten Attacken aktiv ausgenützt.
Die Schwachstelle kann dazu benutzt werden, auf den PCs von
Benutzern, die ein präpariertes RTF-File öffnen oder betrachten,
beliebigen Code mit den Rechten des angemeldeten Benutzers
auszuführen.
Es ist zu erwarten, dass entsprechende Dateien bald via zum Beispiel
Spam-Mails verteilt oder auf entsprechenden Webseiten zum Download
angeboten werden.
Es besteht auch der Verdacht, dass momentan an Adressen in Österreich
versandte Spam-Mails mit Subjects wie "A1 Rechnung 5795377 von
24-03-14" und einem gefälschten Absender der A1 Telekom, genau diese
Lücke auszunutzen versuchen.
Auswirkungen
Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell
alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten,
VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Betroffene Systeme
Systeme, auf denen folgende Versionen von Microsoft Office
installiert sind, sind betroffen:
* Microsoft Word 2003 Service Pack 3
* Microsoft Word 2007 Service Pack 3
* Microsoft Word 2010 Service Pack 1 (32-bit editions)
* Microsoft Word 2010 Service Pack 2 (32-bit editions)
* Microsoft Word 2010 Service Pack 1 (64-bit editions)
* Microsoft Word 2010 Service Pack 2 (64-bit editions)
* Microsoft Word 2013 (32-bit editions)
* Microsoft Word 2013 (64-bit editions)
* Microsoft Word 2013 RT
* Microsoft Word Viewer
* Microsoft Office Compatibility Pack Service Pack 3
* Microsoft Office for Mac 2011
* Word Automation Services on Microsoft SharePoint Server 2010
Service Pack 1
* Word Automation Services on Microsoft SharePoint Server 2010
Service Pack 2
* Word Automation Services on Microsoft SharePoint Server 2013
* Microsoft Office Web Apps 2010 Service Pack 1
* Microsoft Office Web Apps 2010 Service Pack 2
* Microsoft Office Web Apps Server 2013
Abhilfe
Microsoft rät, bis zum Erscheinen entsprechend gefixter Versionen,
das Betrachten von RTF-Dateien nur im sogenannten "geschützten
Modus" zu erlauben, und stellt dazu eine Anleitung sowie ein
"Fix-it"-Tool zur Verfügung:
* https://support.microsoft.com/kb/2953095
*
http://blogs.technet.com/b/srd/archive/2014/03/24/security-advisory-2953095-recommendation-to-stay-protected-and-for-detections.aspx
Für Firmen-Umgebungen empfehlen wir, bis entsprechende Updates bzw.
das "Fix-it"-Tool auf allen Clients ausgerollt sind, auf Proxies und
Mail-Gateways RTF-Dateien von extern zu filtern.
Weiters rät Microsoft, wo möglich das "Enhanced Mitigation Experience
Toolkit" (EMET) einzusetzen und für Microsoft Office - Software zu
konfigurieren.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
* Microsoft Security Advisory 2953095 (englisch)
https://technet.microsoft.com/en-us/security/advisory/2953095
* Details zur Benutzung von "Fix-It"-Tools (englisch)
https://support.microsoft.com/kb/2953095
* Microsoft Security Research & Defense - Blog zu diesem Thema
(englisch)
http://blogs.technet.com/b/srd/archive/2014/03/24/security-advisory-2953095-recommendation-to-stay-protected-and-for-detections.aspx
* Eintrag dazu in der Common Vulnerabilities And Exposures (CVE)
Datenbank
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1761
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 234 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20140325/34673215/attachment.sig>
More information about the Warning
mailing list