1860654

Angriffe auf Zero-Day-Lücke in MS Office

07.11.2013 | 14:45 Uhr |

Microsoft berichtet über gezielte Angriffe auf eine noch nicht beseitigte Schwachstelle in Windows, Office und Lync. Dabei werden präparierte Word-Dateien per Mail verschickt, die ein speziell gestaltetes TIFF-Bild enthalten.

So genannte Zero-Day-Attacken nutzen Sicherheitslücken aus, die noch nicht durch Hersteller-Updates geschlossen sind. Solche Lücken werden meist zunächst für gezielte Angriffe auf bestimmte Personen genutzt, bevor sie auch für breit angelegte Attacken Verwendung finden. Jüngstes Beispiel ist eine TIFF-Lücke, die bestimmte Versionen von Windows, Office und Lync betrifft. Microsoft hat eine Sicherheitsempfehlung veröffentlicht und ein Fix-it Tool bereit gestellt, das die anfällige Grafikkomponente abschaltet.

Die Angriffe werden laut Microsoft bislang vor allem im Nahen Osten sowie in Südasien beobachtet. Dabei werden Word-Dateien per Mail verschickt, in die ein speziell präpariertes TIFF-Bild eingebettet ist. Da es sich um gezielte Angriffe auf bestimmte Personen handelt, sind die Themen darauf abgestimmt, um die Zielpersonen zum Öffnen der Word-Datei zu verleiten. Früher oder später können jedoch auch breit gestreute Angriffe folgen, die Jeden treffen können. Diese könnten dann auch andere Wege beschreiten, etwa präparierte Web-Seiten.

Die Schwachstelle steckt in der Grafikschnittstelle GDI+. Sie betrifft Windows Vista und Windows Server 2008, Microsoft Office 2003, 2007 und 2010 sowie das Kommunikationsprogramm Lync 2010 und 2013, jeweils sowohl 32-Bit- als auch 64-Bit-Versionen. Wird die Lücke erfolgreich ausgenutzt, kann eingeschleuster Code mit den Rechten des angemeldeten Benutzers ausgeführt werden.

Fix-it Lösung gegen TIFF-Lücke
Vergrößern Fix-it Lösung gegen TIFF-Lücke

Microsoft hat die Sicherheitsempfehlung 2896666 veröffentlicht und im zugehörigen KB-Artikel eine Fix-it Lösung bereit gestellt. Diese deaktiviert den anfälligen TIFF-Codec. In der Sicherheitsempfehlung beschreibt Microsoft auch, wie Sie den TIFF-Codec durch einen Eingriff in die Windows-Registry selbst abschalten können.

Als zusätzliche Schutzmaßnahme empfiehlt Microsoft den Einsatz des Enhanced Mitigation Experience Toolkit (EMET). EMET 4.0 ist ohne weitere Konfiguration so eingestellt, dass die betroffene Software geschützt ist. Bei EMET 3.0 sind zusätzliche Konfigurationsschritte erforderlich, die in der Sicherheitsempfehlung beschrieben sind.

Ob Microsoft bereits beim nächsten Patch Day am 12. November ein Sicherheits-Update bereit stellen wird, das die Schwachstelle in der Grafikschnittstelle GDI+ beseitigt, ist derzeit noch unklar.

0 Kommentare zu diesem Artikel
1860654