[Warning] Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution
Alexander Riepl
riepl at cert.at
Thu Oct 12 09:06:35 CEST 2017
Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution
12. Oktober 2017
Researcher haben eine schwerwiegende Sicherheitslücke in Microsoft
Office entdeckt.
Beschreibung
Wenn ein Benutzer eine speziell präparierte Datei im Microsoft
Excel-Format oder Microsoft Word-Format öffnet, kann in Folge ein
Angreifer beliebigen Code, mit den Rechten des angemeldeten
Benutzers, auf dem System ausführen.
Die Schwachstelle basiert auf der Verwendung von Dynamic Data
Exchange (DDE), einem Protokoll zum Austausch von Daten zwischen
Applikationen, welches von Excel verwendet wird, um externe
Informationen einzubinden. Das Filtern von Makros oder der Einsatz von
restriktiven Policies bezüglich der Verwendung von VBA bieten
dementsprechend keine Abhilfe.
Gezielte Angriffe scheinen scheinen aktuell bereits durchgeführt zu
werden. Da die Methode nun öffentlich bekannt ist, ist anzunehmen,
dass entsprechende Dateien bald massenhaft per zB Spam-Mail verteilt werden.
Auswirkungen
Über diesen Fehler kann potentiell beliebiger Code auf den
betroffenen Systemen ausgeführt werden. Es sind alle Daten auf diesen
Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch
Login, VPN etc.) Daten und anderen Systeme gefährdet.
Betroffene Systeme
Die Researcher geben an, dass alle Versionen von Microsoft Office,
inkl. Office 2016 auf Windows 10, für diese Lücke anfällig sind.
Abhilfe
Es stehen noch keine Updates zur Verfügung.
Researcher haben [2]Regeln für Yara publiziert, welche
Office-Dokumente mit via DDE eingebundenen Elementen erkennen können.
Diese können im Zusammenspiel mit anderen Sicherheitslösungen verwendet
werden, um solche Dokumente temporär zu sperren beziehungsweise in
Quarantäne zu verschieben.
Da das Öffnen von Dokumenten mit eingebundenen DDE-Elementen dem
Benutzer im Normalfall zwei Sicherheitswarnungen präsentiert macht es
Sinn, im Zuge betrieblicher Awareness-Massnahmen momentan nochmals
gesondert darauf hinzuweisen, Informationsfenster aktuell besonders
kritisch zu betrachten, und sich bei etwaigen Unsicherheiten und
Verdachtsfällen an den Sicherheitsverantwortlichen im Unternehmen zu
wenden.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, für alle Arten von
Browser-Plugins (Flash, Java, ...) auf die
"Click-to-play"-Funktionalitäten von Internet-Browsern
zurückzugreifen, sowie parallel Firewall-Software aktiv und den
Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
Blogpost von SensePost (englisch)
[1]https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/
Yara-Regeln (englisch)
[2]https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/
--
// Alexander Riepl <riepl at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - http://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 854 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20171012/a6b7c87b/attachment.sig>
More information about the Warning
mailing list