Ein kritischer Bug ermöglicht sogenannte Zero-Day-Angriffe auf Microsoft Windows durch manipulierte Word-Dateien. Das ist die Quintessenz eines Berichts der FireEye Sicherheitsforscher vom Wochenende.
Anzeige
Im Blog-Post Acknowledgement of Attacks Leveraging Microsoft Zero-Day veröffentlichen die FireEye-Forscher das Angriffsszenario. Die Forscher haben infizierte Microsoft Office RTF Dokumente 'in the wild' gefunden, die diese Sicherheitslücke (für die es keinen Patch gibt) ausnutzen. Über die Sicherheitslücke können Angreifer Visual Basic-Scripte ausführen, sobald der Benutzer das Word-Dokument mit dem eingebetteten Exploit öffnet. Die Sicherheitslücke existiert wohl in verschiedenen Word-Versionen und es wurden mehrere Angriffe über solche Word-Dokumente beobachtet. Sobald das Script ausgeführt wird, lädt dieses weitere Malware aus dem Internet nach.
FireEye hat die Details der Sicherheitslücke vor Wochen an Microsoft gemeldet. Da die Sicherheitslücke wohl von einem anderen Blog veröffentlicht wurde, hat sich FireEye entschlossen, die Details im Blog-Post Acknowledgement of Attacks Leveraging Microsoft Zero-Day zu publizieren.
Beim Angriff erhält das Opfer eine E-Mail mit angehängter Word-Datei. Das Word-Dokument enthält ein eingebettetes OLE2link-Objekt. Beim Öffnen der Word-Datei führt Word einen HTTP-Request zu einem Remote-Server aus, um eine mit Malware durchsetze .HTA-Datei herunterzuladen. Diese kommt als getarnte RTF-Datei daher. Das HTA-Programm (HTA steht für HTML Application) führt dann das interne VBScript aus, welches Malware nachlädt. Nachtrag: Zwischenzeitlich gibt es einem Artikel bei heise.de, der ein paar ergänzende Infos enthält. (via)
2015
