Skip to content

0-Day-Exploit für MS Office im Umlauf

McAfee warnt seit dem 7. April vor einem 0-Day-Exploit für eine Schwachstelle in MS Office, die zur Zeit über präparierte Word-Dokumente ausgenutzt wird. Dabei handelt es sich um RTF-Dokumente mit der (dafür eigentlich unüblichen) Dateiendung .doc.

Der Exploit lädt von einem Server der Angreifer eine HTML-Anwendung herunter, die als .hta-Datei ausgeführt wird, was dem Angreifer die Ausführung beliebigen Schadcodes erlaubt. Der Inhalt der .hta-Datei tarnt sich als normale RTF-Datei, enthält aber Visual-Basic-Code. Damit das Opfer den Angriff nicht bemerkt wird zur Tarnung eine harmlose Datei angezeigt.

Anders als sonst beim Einsatz von 0-Day-Exploit gibt es diesmal keine gezielten Angriffe, stattdessen verbreiten Cyberkriminelle verschiedene Schädlingsfamilien über den 0-Day-Exploit. Damit entfällt auch die sonst übliche Ausrede, dass die Allgemeinheit nicht gewarnt wurde, weil es nur vereinzelte Angriffe gab. Damit geben sich die Cyberkriminellen beim Verbreiten gleich mehrere Schädlingsfamilien bestimmt nicht zufrieden.

Der Angriff erfolgt über eine Schwachstelle im Windows Object Linking and Embedding (OLE) und schlägt fehl, wenn die Datei mit dem Exploit im "Protected View"-Modus geöffnet wird. Generell sollten Sie gar keine suspekten Dateien öffnen, aber wenn es denn umbedingt sein muss können Sie über die Nutzung des "Protected View"-Modus zumindest die aktuellen Angriffe abwehren.

McAfee verrät leider nicht, wie die Dateien auf den Rechner gelangen. FireEye hat nach McAfees Veröffentlichung bekannt gegeben, den Exploit schon länger zu kennen und an Microsoft gemeldet zu haben. Ach ja: Und deren Schutzsysteme wehren den Angriff natürlich ab. Wäre ja auch ziemlich traurige, wenn dem nicht so wäre, oder?

Alle anderen potentiellen Opfer sind denen natürlich völlig egal. Warum auch die Allgemeinheit warnen, wenn man mit dem Geheimhalten Geld verdienen kann, nicht wahr? Vor allem, wenn es so einen einfachen Workaround wie die Nutzung des "Protected View"-Modus gibt. Das würde ja das Geschäft versauen, wenn die Kunden merken würden, dass ihr teuer gekaufter Schutz eigentlich überflüssig ist.

Ach ja: Laut FireEye erfolgen die Angriffe über E-Mails mit der Exploit-Datei als Anhang. Also besteht auch ohne Schutzprogramme für aufmerksame Benutzer keine Gefahr. Denn dass man unaufgefordert zugeschickte Mail-Anhänge nicht öffnet weiß inzwischen ja wohl wirklich jeder. Und wer dass nicht weiß lässt sich auch zum Starten der Malware überreden, für den braucht man gar keinen Exploit, und einen 0-Day erst recht nicht.

Update 11.4.:
Proofpoint meldet, dass das Necurs-Botnetz massenhaft E-Mails mit diesem 0-Day-Exploit im Anhang verschickt, um den Onlinebanking-Trojaner Dridex zu verbreiten. Ohne "Protected View"-Modus reicht schon das Öffnen des angehängten Word-Dokuments aus, um den Rechner zu infizieren. Ist der "Protected View"-Modus eingeschaltet, wird der Exploit aktiv, wenn das Editieren eingeschaltet wird.
Ende des Updates vom 11.4.

Ein Patch wurde von Microsoft bereits für den kommenden April-Patchday angekündigt.

Update 11.4.:
Da es keine Security Bulletins mehr gibt, ist es nicht so einfach, festzustellen, ob die Schwachstelle behoben wurde oder nicht. So, wie es aussieht, wird in Office nur eine Schwachstelle behoben: CVE-2017-0199. Aber über die gibt es bisher keine Informationen, und in den KB-Artikeln, die die Security Bulletins ersetzen sollen, steht nichts von laufenden Angriffen.
Ende des Updates vom 11.4.

Übrigens ist das erst der 2. 0-Day-Exploit in diesem Jahr. Und wir haben schon April. Also von mir aus kann das gerne so ruhig weiter gehen.

Update 12.4.:
CVE-2017-0199 ist in der Tat die durch den 0-Day-Exploit ausgenutzte Schwachstelle, damit gibt es seit gestern auch einen Patch dafür.
Ende des Updates vom 12.4.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2017 im Überblick

Vorschau anzeigen
Hier finden Sie eine Übersicht über die 2017 eingesetzten 0-Day-Exploits, die die Ausführung eingeschleusten Codes erlauben. Es gibt auch Übersichtsseiten für 2013, 2014, 2015 und 2016. N

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!