Update: Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution - Patches nun verfügbar
10. April 2017
Update 12. April 2017
Wie McAfee berichtet, gibt es aktuell eine
schwerwiegende Lücke mit Microsoft Office und RTF-Dokumenten.
Informationsquelle(n):
Meldung von McAfee (englisch)
https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/
Meldung von FireEye (englisch)
https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa.html
Security Advisory von Microsoft (englisch)
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
Beschreibung
Wenn ein Benutzer eine speziell präparierte Datei im Microsoft Word-Format (".doc", mit RTF-Inhalt) öffnet, kann in Folge ein Angreifer beliebigen Code, mit den Rechten des angemeldeten Benutzers, auf dem System ausführen.Entsprechende Angriffe scheinen seit zumindest Jänner 2017 durchgeführt zu werden. Da die Methode nun öffentlich bekannt ist, ist anzunehmen, dass entsprechende Dateien bald massenhaft per zB Spam-Mail verteilt werden.
Auswirkungen
Über diesen Fehler kann potentiell beliebiger Code auf den betroffenen Systemen ausgeführt werden. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.Betroffene Systeme
McAfee gibt an, dass alle Versionen von Microsoft Office, inkl. Office 2016 auf Windows 10, für diese Lücke anfällig sind.Abhilfe
Es stehen noch keine Updates zur Verfügung.
Update: 12. April 2017
Microsoft hat nun einen Patch für dieses Problem veröffentlicht,
siehe
CVE-2017-0199 | Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API.
Eine Übersicht zum Microsoft-Patchday findet sich bei Heise Security
.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, für alle Arten von Browser-Plugins (Flash, Java, ...) auf die "Click-to-play"-Funktionalitäten von Internet-Browsern zurückzugreifen, sowie parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Meldung von McAfee (englisch)
https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/
Meldung von FireEye (englisch)
https://www.fireeye.com/blog/threat-research/2017/04/acknowledgement_ofa.html
Security Advisory von Microsoft (englisch)
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199