170816

Neue Sicherheitslücke in Word

26.01.2007 | 14:14 Uhr |

Noch bevor die drei im Dezember bekannt gewordenen Schwachstellen in Word gestopft sind, ist eine weitere Anfälligkeit in Microsoft Word entdeckt worden, die das Einschleusen und Ausführen von beliebigem Programm-Code ermöglichen soll.

Der Antivirus-Hersteller Symantec hat eine neue Sicherheitslücke in Microsoft Word entdeckt. Wie das seit einiger Zeit zu Symantec gehörende Sicherheitsportal Security Focus berichtet , kann eine Schwachstelle in Word 2000 ausgenutzt werden, um mit Hilfe speziell präparierter Word-Dokumente Trojanische Pferde einzuschleusen.

Die Virenforscher von Symantec haben eine Word-Datei untersucht, die beim Öffnen über eine bislang unbekannte Anfälligkeit in Word mehrere EXE-Dateien auf der Festplatte ablegt. Im TEMP-Verzeichnis landen die Dateien "ahah.exe" sowie "sav.exe" und im Windows-Verzeichnis die Dateien "dominoo.exe" und "inetsyschk.dll". Letztere werden später wieder gelöscht. Außerdem wird im TEMP-Verzeichnis eine Word-Datei namens "Summary on China's 2006 Defense White paper.doc" angelegt. Dabei handelt es sich um eine Malware-freie Kopie des ursprünglichen Dokuments.

Ferner öffnet die eingeschleuste Malware eine Hintertür ins System, die Angreifern den Zugriff übers Internet ermöglichen soll. Sie nimmt zudem Kontakt zu einem Server im Internet auf, mutmasslich um die IP-Adresse des nun kompromittierten Rechners zu melden. Die Word-Datei wird bei Symantec als "Trojan.Mdropper.W" geführt.

Über die Details der Schwachstelle in Word 2000 ist bislang noch wenig bekannt. Sie wird wie schon in früheren Fällen in einzelnen Angriffen auf ausgewählte Ziele ausgenutzt, vermutlich mit per Mail verschickten Word-Dateien. Die Sicherheitslücke ist mit keiner der drei im Dezember 2006 entdeckten Word-Anfälligkeiten ( wir berichteten ) identisch. Auch der Word Viewer 2003 sowie Word 2003 (etwa aus Office XP) sollen anfällig sein, jedoch beim Öffnen des präparierten Dokuments nur abstürzen.

Unverlangt zugesandte Word-Dateien sollten nicht geöffnet werden. Die oben genannten Dateinamen können bei weiteren Angriffen auch ganz anders lauten. Ein Sicherheits-Update von Microsoft, das die Schwachstellen in Office beseitigen würde, ist bislang weder verfügbar noch angekündigt.

0 Kommentare zu diesem Artikel
170816