122198

Neue Office-Lücke ermöglicht Code-Ausführung

25.03.2008 | 09:32 Uhr |

Eine neu entdeckte Schwachstelle in Microsofts Datenbankmodul Jet ermöglicht es Angreifern über präparierte Word-Dokumente Malware einzuschleusen und auszuführen. Diese Möglichkeit wird bereits für Angriffe genutzt.

Microsoft hat über Ostern eine neue Sicherheitsempfehlung heraus gegeben, in der es vor einer Sicherheitslücke in seiner Jet Database Engine warnt, die schon zum Einschleusen von Malware genutzt wird. Angreifer können zum Beispiel mit Hilfe speziell präparierter Word-Dateien Code einschleusen. Dieser wird bei entsprechender Mithilfe des Anwenders mit dessen Zugriffsrechten ausgeführt.

Das Datenbankmodul "Microsoft Jet Database Engine" vor der Revision 4.0.9505.0 der Datei "msjet40.dll" ist anfällig für einen Pufferüberlauf, der bereits für gezielte Angriffe ausgenutzt wird. Gefährdet sind laut Microsoft Benutzer von Word 2000 bis 2007 unter Windows 2000 und XP sowie Server 2003 SP1. Windows Vista und Server 2003 SP2 sind nicht anfällig, da hier bereits neuere Versionen der Jet Database Engine enthalten sind.

Ein Angreifer kann etwa eine präparierte Word-Datei ins Web stellen und versuchen Anwender zum Besuch der Web-Seite zu verleiten, zum Beispiel mit einem Link in einer Mail. Er kann auch eine solche Word-Datei direkt per Mail an potenzielle Opfer senden und darauf bauen, dass diese die Datei öffnen werden.

Öffnet ein Anwender die präparierte Datei, wird der eingeschleuste Code mit den Rechten des angemeldeten Benutzers ausgeführt, eine Rechteausweitung soll nicht möglich sein. Microsoft untersucht nach eigenem Bekunden noch, ob weitere Anwendungen, die auf die Jet-Engine zugreifen, ebenfalls für derartige Angriffe ausgenutzt werden können.

Ein Update für die anfälligen Systeme ist noch nicht verfügbar. Als Workaround empfiehlt Microsoft die Ausführung der Jet Database Engine mittels CACLS (Access Control List) zu unterbinden, den Mail-Empfang von MDB-Dateien zu blockieren und/oder keine Word-Dateien unbekannter Herkunft zu öffnen.

Microsoft Security Advisory 950627

0 Kommentare zu diesem Artikel
122198