In faktisch allen Word-Versionen klafft eine Sicherheitslücke (Zero-Day-Exploit), die aktiv ausgenutzt wird. Nun hat Microsoft diese Lücke (hoffentlich) zum April 2017-Patchday geschlossen.
Anzeige
Vor einigen Tagen hatte ich im Blog-Beitrag Zero-Day-Lücke über Word-Dokumente ausgenutzt über eine Zero-Day-Sicherheitslücke in Microsoft Word berichtet. Eine Analyse findet sich z.B. hier und hier (nicht erreichbar). Diese Sicherheitslücke wird aktiv ausgenutzt. Das Dridex-Botnet verteilte in den letzten Tagen Millionen Spam-Mails mit Schadcode in Word-Dateien, die auf diese Sicherheitslücke zielten (siehe Achtung: Dridex-Botnet verteilt Spam-Mails mit Schadcode für Office-Lücke). Die Kriminellen haben eine hängen an die Mails präparierte Dateien der Art Scan_123456.doc oder Scan_123456.pdf an. Beim Öffnen wird dann die Schadfunktion aktiv und versucht einen Trojaner zu installieren.
Am 11. April 2017 hat Microsoft nun eine Reihe von Sicherheitsupdates freigegeben, die auch CVE-2017-0199 (Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API) adressieren.
Ergänzung: Ich habe den obigen Link rausgenommen (siehe Kommentar), da der Beitrag wohl von Microsoft gelöscht wurde. Zwischenzeitlich gibt es den Beitrag KB4014793 (Security update for the Microsoft Office remote code execution vulnerability: April 11, 2017) mit Informationen (wobei dort der Link auf CVE-2017-0199 auch gebrochen ist).
Microsoft patcht Office 2007, 2010, 2013 und 2016 sowie diverse Windows-Version (wegen WordPad). Details waren CVE-2017-0199 (https:// portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199) zu entnehmen – ist leider gelöscht. Dem nachfolgenden Kommentar ist zu entnehmen, dass der Import von EPS-Dateien blockiert wird.
Anzeige
"Geschlossen" ist relativ. Die haben einfach den Importfilter für das EPS-Grafikformat abgeschaltet. Denn über eingebettete manipulierte EPS-Dateien lief wohl die Attacke.
Für mich selber ist das Abschalten von EPS kein Problem, brauchte ich noch nie. Habe aber schon Beschwerdeposts gelesen von Leuten die legitim EPS-Grafiken in z.B. Word benutzten und jetzt klappt das nicht mehr. Auch in alten Dokumente fehlen diese Grafiken dann beim Öffnen angeblich.
Der "normale Anwender" wird EPS kaum benötigen, aber im Bereich Druckerei, Grafikstudios etc. dürfte das Format oft vorkommen.
Der Link auf die VE-2017-0199 führt bei mir zu einer leeren Seite.
Stimmt – ich habe den Text korrigiert – da hat Microsoft wohl den Beitrag zurückgezogen und man kommt nicht mehr an die Details heran (deren interne Links sind nun auch gebrochen).
Update: Microsoft hat den Link auf CVE-2017-0199 wieder freigeschaltet.
Ich hoffe doch, dass das abschalten einfach mal die schnellste Lösung war, und der eigentliche Patch demnächst kommt.