Update: Schwerwiegende Sicherheitslücke in Microsoft Windows, Office und Lync - aktiv ausgenützt

6. November 2013
Update am 7. November

CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Microsoft hat ein Security Advisory zu einer schwerwiegenden Sicherheitslücke in einer Grafik-Komponente von Windows, Office und Lync veröffentlicht. Die Schwachstelle wird laut Microsoft bereits in gezielten Attacken (für MS Office) aktiv ausgenützt.

Die Schwachstelle kann dazu benutzt werden, auf den PCs von Benutzern, die ein präpariertes TIFF-File geöffnet oder betrachtet haben, beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen. Die Angreifer müssen ihre Opfer dazu bringen, eine präparierte Datei, ein präpariertes E-Mail oder Attachment zu öffnen bzw. via Vorschau-Funktion zu betrachten, oder eine präparierte Webseite zu besuchen.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Systeme, auf denen folgende Versionen von Microsoft-Software (Windows, Office und Lync) installiert sind, sind betroffen:

  • Windows
    • Windows Vista Service Pack 2 (32/64-bit)
    • Windows Server 2008 for 32/64-bit Systems Service Pack 2
    • Windows Server 2008 for 32/64-bit Systems Service Pack 2 (Server Core installation)
    • Windows Server 2008 for Itanium-based Systems Service Pack 2
  • Office (unabhängig von der Betriebssystemversion)
    • Office 2003 Service Pack 3
    • Office 2007 Service Pack 3
    • Office 2010 Service Pack 1 (32/64-bit)
    • Office 2010 Service Pack 2 (32/64-bit)
    • Office Compatibility Pack Service Pack 3
  • Update (2013-11-07):
    Laut Microsoft Security Research & Defense ist Office 2010 nur unter Windows XP/Windows Server2003 betroffen.

  • Lync
    • Lync 2010 (32/64-bit)
    • Lync 2010 Attendee
    • Lync 2013 (32/64-bit)
    • Lync Basic 2013 (32/64-bit)

Abhilfe

Da momentan noch kein Bugfix zur Verfügung steht, empfiehlt Microsoft das sogenannte "Fix-It"-Tool zu verwenden, um den TIFF-Codec zu deaktivieren (was zur Folge hat, dass keine TIFF-Grafiken mehr dargestellt werden können), sowie den Einsatz des Enhanced Mitigation Experience Toolkit (EMET). Details dazu siehe https://blogs.technet.com/b/msrc/archive/2013/11/05/microsoft-releases-security-advisory-2896666-v2.aspx.

Weiters empfehlen wir, wo möglich, auf Proxies und Mail-Gateways TIFF-Dateien von extern zu filtern.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Microsoft Security Advisory 2896666 (englisch)
http://technet.microsoft.com/en-us/security/advisory/2896666
Details zur Benutzung von "Fix-It"-Tool und EMET (englisch)
https://blogs.technet.com/b/msrc/archive/2013/11/05/microsoft-releases-security-advisory-2896666-v2.aspx
Microsoft Security Research & Defense - Blog (englisch)
https://blogs.technet.com/b/srd/archive/2013/11/05/cve-2013-3906-a-graphics-vulnerability-exploited-through-word-documents.aspx