128130

Microsoft Office: Exploit-Schutz mit MOICE

24.05.2007 | 16:54 Uhr |

Microsoft stellt eine abgesicherte Umgebung zur Konvertierung von Office-Dokumenten in das neue, XML-basierte Dateiformat in Aussicht, die vor allem Unternehmen vor Exploit-Code in Office-Dateien schützen soll.

In den letzten Monaten sind immer wieder neue Sicherheitslücken in Programmen wie Word und Excel bekannt geworden, die das Einschleusen schädlicher Software ermöglichen können. Ausgenutzt werden diese Schwachstellen vor allem, um gezielt einzelne Unternehmen anzugreifen. Dazu werden etwa Word- oder Powerpoint-Dateien per Mail an ausgewählte Mitarbeiter geschickt. Öffnen diese die Dateien mit der zugehörigen Office-Anwendung, wird ein Spionageprogramm installiert.

Schutz vor solchen Exploits soll nun eine Konvertierungslösung bieten, die den unhandlichen Namen "Microsoft Office Isolated Conversion Environment" (MOICE) trägt. Diese für Juni angekündigte Software soll eine abgesicherte Laufzeitumgebung (Sandbox) für die Umwandlung von Office-Dokumenten bieten. Der Konverter wandelt Dateien aus dem alten OLE2-Format (Office 97 bis 2003) in das neue XML-Format "Metro" von Office 2007 um. Danach wird es zurück in das alte Format konvertiert.

Die Microsoft-Entwickler haben beobachtet, dass der Konvertierungsfilter von Office 2007 bei Dateien, die schädlichen Code enthalten, entweder unschädliche Dokumente liefert, abstürzt oder einfach an der Umwandlung scheitert. Packt man den Konverter in eine abgeschottete Laufzeitumgebung, wird das Risiko einer Verseuchung minimiert. Wenn ein Unternehmen MOICE bereits auf dem Internet-Gateway einsetzt, gelangen schädliche Dokumente gar nicht erst auf die Rechner der Mitarbeiter.

Die Microsoft Sicherheitsempfehlung 937696 kündigt die Verfügbarkeit von MOICE ab 12. Juni als empfohlenes Update an. Es wird also am Patch Day zusammen mit den Security Bulletins bereit gestellt. Die Sicherheitsempfehlung nennt ferner eine Funktion zur Dateiblockierung, die in Office 2007 bereits enthalten ist und für Office 2003 nachgerüstet werden kann. Damit können Administratoren das Öffnen bestimmter Dateitypen in Office unterbinden, falls eine neue Sicherheitslücke bekannt wird.

Wird die Dateiblockierung zusammen mit MOICE eingesetzt, soll dieses Gespann den bestmöglichen Schutz vor Office-Exploits bieten. Beide Techniken sind jedoch voneinander unabhängig. Sie setzen Microsoft Office 2007 oder ein mit allen Updates versehenes Office 2003 voraus. Ältere Office-Versionen werden nicht unterstützt.

Im Blog des Microsoft Sicherheitsteams und im Blog von David LeBlanc finden Sie weitere technische Details zu MOICE.

0 Kommentare zu diesem Artikel
128130