Update: Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution

12. Oktober 2017

Researcher haben eine schwerwiegende Sicherheitslücke in Microsoft Office entdeckt.

Beschreibung

Wenn ein Benutzer eine speziell präparierte Datei im Microsoft Excel-Format oder Microsoft Word-Format öffnet, kann in Folge ein Angreifer beliebigen Code, mit den Rechten des angemeldeten Benutzers, auf dem System ausführen.

Die Schwachstelle basiert auf der Verwendung von Dynamic Data Exchange (DDE), einem Protokoll zum Austausch von Daten zwischen Applikationen, welches von Excel verwendet wird, um externe Informationen einzubinden. Das Filtern von Makros oder der Einsatz von restriktiven Policies bezüglich der Verwendung von VBA bieten dementsprechend keine Abhilfe.

Gezielte Angriffe scheinen aktuell bereits durchgeführt zu werden. Da die Methode nun öffentlich bekannt ist, ist anzunehmen, dass entsprechende Dateien bald massenhaft per zB Spam-Mail verteilt werden.

Auswirkungen

Über diesen Fehler kann potentiell beliebiger Code auf den betroffenen Systemen ausgeführt werden. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Die Researcher geben an, dass alle Versionen von Microsoft Office, inkl. Office 2016 auf Windows 10, für diese Lücke anfällig sind.

Abhilfe

Es stehen noch keine Updates zur Verfügung.

Researcher haben Regeln für Yara publiziert, welche Office-Dokumente mit via DDE eingebundenen Elementen erkennen können. Diese können im Zusammenspiel mit anderen Sicherheitslösungen verwendet werden, um solche Dokumente temporär zu sperren beziehungsweise in Quarantäne zu verschieben.

Update: 09. November 2017

Microsoft hat nun ein Dokument veröffentlicht, welches den sicheren Umgang mit Dokumenten beschreibt, die via DDE externe Ressourcen einbinden.

Da das Öffnen von Dokumenten mit eingebundenen DDE-Elementen dem Benutzer im Normalfall zwei Sicherheitswarnungen präsentiert macht es Sinn, im Zuge betrieblicher Awareness-Massnahmen momentan nochmals gesondert darauf hinzuweisen, Informationsfenster aktuell besonders kritisch zu betrachten, und sich bei etwaigen Unsicherheiten und Verdachtsfällen an den Sicherheitsverantwortlichen im Unternehmen zu wenden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Blogpost von SensePost (englisch)
https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/
Yara-Regeln (englisch)
https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/