Zum Wochenabschluss noch zwei Sicherheitsinformationen. Gerade ist aufgefallen, dass Outlook Mails teilweise unverschlüsselt verschickt. Und Malware lässt sich in Office auch ohne Freigabe der Makroausführung ausführen.
Anzeige
Outlook-Bug führt zu Klartext-Mail-Übertragung
In Microsoft Outlook wurde ein Bug entdeckt, der sensible E-Mails, die angeblich mit S/MIME verschlüsselt wurden, doch im unverschlüsselten Klartext versendet wurden. Dies berichtet Sec Consult in diesem Blog-Beitrag und dokumentiert die Details. The Hacker News haben das in diesem Blog-Beitrag aufgegriffen und aufbereitet.
Malware startet ohne Makro-Freigabe in Office
Eine andere, unschöne Geschichte wird im Blog-Beitrag MS Office Built-in Feature Allows Malware Execution Without Macros Enabled bei The Hackers News berichtet. Sicherheitsforscher von Talos (Cisco) haben eine Angriffskampagne entdeckt, die mit Malware ausgestattete Microsoft Word-Dokumente verbreitet. Diese Word-Dokumente ermöglichen auf dem Zielgerät Code auszuführen, ohne dass Makros aktiviert werden müssen.
Diese Makro-lose Code-Ausführung mit MSWord-Features wurde am Montag von den Sicherheitsforschern von Sensepost, Etienne Stalmans und Saif El-Sherei, ausführlich beschrieben. Die Forscher haben eine eingebaute Funktion von MS Office, Dynamic Data Exchange (DDE) genannt, genutzt, um Code zur Ausführung zu bringen.
Dynamic Data Exchange (DDE)-Protokoll ist eine der Methoden, die Microsoft ermöglicht zwei laufenden Anwendungen die gleichen Daten zu teilen. Das Protokoll kann von Anwendungen für den einmaligen Datentransfer und für den kontinuierlichen Austausch, bei dem Anwendungen sich gegenseitig Aktualisierungen senden, sobald neue Daten zur Verfügung stehen, genutzt werden.
Anzeige
Tausende Anwendungen verwenden das DDE-Protokoll, einschließlich Microsoft Excel, MS Word, Quattro Pro und Visual Basic. Die von den Forschern beschriebene Angriffstechnik erzeugt keine Sicherheitswarnungen beim Opfer. Es wird lediglich gefragt, ob die im Befehl angegebene Anwendung auszuführen ist. Ein Exploit zum Ausnutzen dieses Mechanismus ist bereit gesichtet worden.
Ähnliche Artikel:
Undokumentiertes Word-Features für Angriffe benutzt
Exploit für Microsoft PowerPoint trickst Antivirus aus
Zusy PowerPoint-Malware: Download durch Zeigen auf Link
Anzeige
Outlook patzt, Malware trotz Office Makrosperre ausführbar
Könnte man dies einen Fehler by Design nennen?
Ein Fehler durch das DDE-Protokoll, sodass er uns noch lange verfolgt?
unter "ermöglicht Code auszuführen, ohne dass Makros aktiviert sein müssen" hatte ich mir eigentlich vorgestellt, dass das automatisch ausgeführt wird. Stattdessen muss der Benutzer (wie bei "warnen" für Makros) gleich *zwei* Nachfragen bestätigen, bei denen zudem noch "Nein" die Voreinstellung ist.
Klar, das ist unschön, aber m.E. kein Weltuntergang.