[Warning] Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution

Alexander Riepl riepl at cert.at
Thu Oct 12 09:06:35 CEST 2017 

    Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution

   12. Oktober 2017

   Researcher haben eine schwerwiegende Sicherheitslücke in Microsoft
   Office entdeckt.

Beschreibung

   Wenn ein Benutzer eine speziell präparierte Datei im Microsoft
   Excel-Format oder Microsoft Word-Format öffnet, kann in Folge ein
   Angreifer beliebigen Code, mit den Rechten des angemeldeten
Benutzers, auf dem System ausführen.

   Die Schwachstelle basiert auf der Verwendung von Dynamic Data
Exchange (DDE), einem Protokoll zum Austausch von Daten zwischen
Applikationen, welches von Excel verwendet wird, um externe
Informationen einzubinden. Das Filtern von Makros oder der Einsatz von
restriktiven Policies bezüglich der Verwendung von VBA bieten
dementsprechend keine Abhilfe.

   Gezielte Angriffe scheinen scheinen aktuell bereits durchgeführt zu
   werden. Da die Methode nun öffentlich bekannt ist, ist anzunehmen,
dass entsprechende Dateien bald massenhaft per zB Spam-Mail verteilt werden.

Auswirkungen

   Über diesen Fehler kann potentiell beliebiger Code auf den
betroffenen Systemen ausgeführt werden. Es sind alle Daten auf diesen
Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch
Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

   Die Researcher geben an, dass alle Versionen von Microsoft Office,
   inkl. Office 2016 auf Windows 10, für diese Lücke anfällig sind.

Abhilfe

   Es stehen noch keine Updates zur Verfügung.

   Researcher haben [2]Regeln für Yara publiziert, welche
Office-Dokumente mit via DDE eingebundenen Elementen erkennen können.
Diese können im Zusammenspiel mit anderen Sicherheitslösungen verwendet
werden, um solche Dokumente temporär zu sperren beziehungsweise in
Quarantäne zu verschieben.

   Da das Öffnen von Dokumenten mit eingebundenen DDE-Elementen dem
   Benutzer im Normalfall zwei Sicherheitswarnungen präsentiert macht es
   Sinn, im Zuge betrieblicher Awareness-Massnahmen momentan nochmals
   gesondert darauf hinzuweisen, Informationsfenster aktuell besonders
   kritisch zu betrachten, und sich bei etwaigen Unsicherheiten und
   Verdachtsfällen an den Sicherheitsverantwortlichen im Unternehmen zu
   wenden.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, für alle Arten von
   Browser-Plugins (Flash, Java, ...) auf die
   "Click-to-play"-Funktionalitäten von Internet-Browsern
zurückzugreifen, sowie parallel Firewall-Software aktiv und den
Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Blogpost von SensePost (englisch)
   [1]https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/
   Yara-Regeln (englisch)
   [2]https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/

-- 
// Alexander Riepl <riepl at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 854 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20171012/a6b7c87b/attachment.sig>

More information about the Warning mailing list