Update: Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution

Update: Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution

Update: Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution

12. Oktober 2017

Researcher haben eine schwerwiegende Sicherheitslücke in Microsoft Office entdeckt.

Beschreibung

Wenn ein Benutzer eine speziell präparierte Datei im Microsoft
Excel-Format oder Microsoft Word-Format öffnet, kann in Folge ein
Angreifer beliebigen Code, mit den Rechten des angemeldeten Benutzers, auf dem
System ausführen.

Die Schwachstelle basiert auf der Verwendung von Dynamic Data
Exchange (DDE), einem Protokoll zum Austausch von Daten zwischen Applikationen,
welches von Excel verwendet wird, um externe Informationen einzubinden. Das
Filtern von Makros oder der Einsatz von restriktiven Policies bezüglich der Verwendung
von VBA bieten dementsprechend keine Abhilfe.

Gezielte Angriffe scheinen aktuell bereits durchgeführt zu werden. Da die Methode nun öffentlich bekannt ist, ist
anzunehmen, dass entsprechende Dateien bald massenhaft per zB Spam-Mail verteilt werden.

Auswirkungen

Über diesen Fehler kann potentiell beliebiger Code auf den betroffenen Systemen ausgeführt werden.
Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme
gefährdet.

Betroffene Systeme

Die Researcher geben an, dass alle Versionen von Microsoft Office, inkl. Office 2016 auf Windows 10, für diese Lücke anfällig sind.

Abhilfe

Es stehen noch keine Updates zur Verfügung.

Researcher haben Regeln
für Yara publiziert, welche Office-Dokumente mit via DDE eingebundenen
Elementen erkennen können. Diese können im Zusammenspiel mit anderen
Sicherheitslösungen verwendet werden, um solche Dokumente temporär zu
sperren beziehungsweise in Quarantäne zu verschieben.

Update: 09. November 2017

 

Microsoft hat nun ein Dokument veröffentlicht,
welches den sicheren Umgang mit Dokumenten beschreibt, die via DDE externe
Ressourcen einbinden.

Da das Öffnen von Dokumenten mit eingebundenen DDE-Elementen dem Benutzer
im Normalfall zwei Sicherheitswarnungen präsentiert macht es Sinn, im Zuge
betrieblicher Awareness-Massnahmen momentan nochmals gesondert darauf
hinzuweisen, Informationsfenster aktuell besonders kritisch zu betrachten, und
sich bei etwaigen Unsicherheiten und Verdachtsfällen an den Sicherheitsverantwortlichen im Unternehmen zu wenden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die “automatisches Update”-Features von Software zu nutzen, für alle Arten von Browser-Plugins
(Flash, Java, …) auf die “Click-to-play”-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.


Informationsquelle(n):

Blogpost von SensePost (englisch)
https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/
Yara-Regeln (englisch)
https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/

Source link