Schwerwiegende Sicherheitslücke in Microsoft Office - aktiv ausgenützt

25. März 2014

Beschreibung

Microsoft hat ein Security Advisory zu einer schwerwiegenden Sicherheitslücke (CVE-2014-1761) in einer Komponente von Microsoft Office veröffentlicht. Die Schwachstelle wird laut Microsoft bereits in gezielten Attacken aktiv ausgenützt.

Die Schwachstelle kann dazu benutzt werden, auf den PCs von Benutzern, die ein präpariertes RTF-File öffnen oder betrachten, beliebigen Code mit den Rechten des angemeldeten Benutzers auszuführen.
Es ist zu erwarten, dass entsprechende Dateien bald via zum Beispiel Spam-Mails verteilt oder auf entsprechenden Webseiten zum Download angeboten werden.

Es besteht auch der Verdacht, dass momentan an Adressen in Österreich versandte Spam-Mails mit Subjects wie "

A1 Rechnung 5795377 von 24-03-14
" und einem gefälschten Absender der A1 Telekom, genau diese Lücke auszunutzen versuchen.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Systeme, auf denen folgende Versionen von Microsoft Office installiert sind, sind betroffen:
  • Microsoft Word 2003 Service Pack 3
  • Microsoft Word 2007 Service Pack 3
  • Microsoft Word 2010 Service Pack 1 (32-bit editions)
  • Microsoft Word 2010 Service Pack 2 (32-bit editions)
  • Microsoft Word 2010 Service Pack 1 (64-bit editions)
  • Microsoft Word 2010 Service Pack 2 (64-bit editions)
  • Microsoft Word 2013 (32-bit editions)
  • Microsoft Word 2013 (64-bit editions)
  • Microsoft Word 2013 RT
  • Microsoft Word Viewer
  • Microsoft Office Compatibility Pack Service Pack 3
  • Microsoft Office for Mac 2011
  • Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 1
  • Word Automation Services on Microsoft SharePoint Server 2010 Service Pack 2
  • Word Automation Services on Microsoft SharePoint Server 2013
  • Microsoft Office Web Apps 2010 Service Pack 1
  • Microsoft Office Web Apps 2010 Service Pack 2
  • Microsoft Office Web Apps Server 2013

Abhilfe

Microsoft rät, bis zum Erscheinen entsprechend gefixter Versionen, das Betrachten von RTF-Dateien nur im sogenannten "geschützten Modus" zu erlauben, und stellt dazu eine Anleitung sowie ein "Fix-it"-Tool zur Verfügung:
Für Firmen-Umgebungen empfehlen wir, bis entsprechende Updates bzw. das "Fix-it"-Tool auf allen Clients ausgerollt sind, auf Proxies und Mail-Gateways RTF-Dateien von extern zu filtern.

Weiters rät Microsoft, wo möglich das "Enhanced Mitigation Experience Toolkit" (EMET) einzusetzen und für Microsoft Office - Software zu konfigurieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Microsoft Security Advisory 2953095 (englisch)
https://technet.microsoft.com/en-us/security/advisory/2953095
Details zur Benutzung von "Fix-It"-Tools (englisch)
https://support.microsoft.com/kb/2953095
Microsoft Security Research & Defense - Blog zu diesem Thema (englisch)
http://blogs.technet.com/b/srd/archive/2014/03/24/security-advisory-2953095-recommendation-to-stay-protected-and-for-detections.aspx
Eintrag dazu in der Common Vulnerabilities And Exposures (CVE) Datenbank
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1761