239981

Neue Sicherheitslücke in Excel

16.06.2006 | 14:25 Uhr |

Eine neu entdeckte Schwachstelle in Excel lässt sich zum Einschleusen von Malware ausnutzen, ein erster Angriff ist bereits erfolgt.

Nachdem Microsoft am 13. Juni ein Update gegen eine Sicherheitslücke in Word bereit gestellt hat, macht nun die Ausnutzung einer mutmaßlich ähnlichen Schwachstelle in Excel als so genannter "0-Day-Exploit" Schlagzeilen. Das Sicherheits-Team von Microsoft berichtet von einem Einzelfall, der an Microsoft gemeldet worden ist. Mike Reavey gibt im Weblog des Sicherheits-Teams an, der Angriff erfolge durch Zusenden eines präparierten Excel-Dokuments, zum Beispiel per Mail.

Nach Angaben von Symantec kommt die präparierte Excel-Datei mit dem Dateinamen "okN.xls" per Mail, der nächste Versuch kann jedoch einen ganz anderen Dateinamen benutzen. Wird die Datei mit Excel geöffnet, kann ein Trojanisches Pferd eingeschleust werden. Symantec nennt diesen Schädling " Trojan.Mdropper.J ". Dies legt eine Verwandtschaft mit der Word-Lücke nahe, denn die Varianten "Trojan.Mdropper.H" und ""Trojan.Mdropper.I" dieses Schädlings zielen auf die Word-Schwachstelle ( MS06-027 ).

Trojan.Mdropper.J legt im System-Verzeichnis von Windows ein Trojanisches Pferd als "svc.exe" ab, das von Symantec als "Downloader.Booli.A" bezeichnet wird. Dieses lädt weitere, nicht mehr ganz so neue Malware aus dem Internet, die von Norton Antivirus generisch als "Backdoor.Trojan" erkannt wird. Antivir erkennt den Schädling als "BDS/Bifrose.CW", Bitdefender als "GenPack:Backdoor.Flux.B", F-Secure und Kaspersky als "Trojan-Spy.Win32.Flux.ae" und Microsoft nennt ihn "Backdoor:Win32/Flux.I".

Ob es diesmal bereits vor dem nächsten Patch Day am 11. Juli ein Sicherheits-Update von Microsoft gegen wird, ist noch völlig unklar. Aus Sicht eines Angreifers ist der jetzige Zeitpunkt günstig, da noch über vier Wochen bis zu den nächsten regulären Updates vergehen werden. Als Vorsichtsmaßnahme sei zum Öffnen zugesandter XLS-Dateien das kostenlose Open Office empfohlen.

0 Kommentare zu diesem Artikel
239981