Hacker nutzen Office Formeleditor-Schwachstelle CVE-2017-11882 aus

[English]In Microsoft Office wird ein Formeleditor mitgeliefert, der eine Schwachstelle enthält. Nun ist bekannt geworden, dass Hacker genau diese Lücke für Angriffe ausnutzen. Hier ein paar Informationen. Ergänzung: Stellungnahme von opatch nachgetragen.


Anzeige

Sicherheitslücke im EQNEDT32.EXE

Im Formeleditor EQNEDT32.EXE gibt es eine Sicherheitslücke, die eine seit dem Jahr 2000 besteht (siehe hier und hier). Der Formeleditor wurde zwar im Jahr 2007 durch einen neuen Editor ersetzt. Aus Kompatibilitätsgründen (um alte Gleichungen in Word-Dokumente editieren zu können), ist der Formeleditor EQNEDT32.EXE in allen Office-Versionen bis Office 2016 dabei.

Formeleditor

Zum 14. November 2017 hat Microsoft im Rahmen des Patchday auch Updates für die noch unterstützten Microsoft Office-Versionen freigegeben. Diese patchen auch die Sicherheitslücke im Formeleditor EQNEDT32.EXE.

Allerdings erfolgte der Patch auf recht unorthodoxe Weise, direkt im Binärcode, wie ich im Blog-Beitrag Hat Microsoft Zugriff auf Teile des Office-Quellcodes verloren? angesprochen habe.

CVE-2017-11882 wird von Cobalt-Hackergruppe genutzt

In diesem Artikel berichten Sicherheitsforscher von Reversing Labs, dass die Sicherheitslücke CVE-2017-11882 im alten Formeleditor EQNEDT32.EXE aktiv durch die Cobalt-Hackergruppe ausgenutzt werde. Den Sicherheitsanalysten ist eine RTF-Datei mit entsprechenden Manipulationen in die Hände gefallen. Diese wird wohl als E-Mail-Anhang verschickt. Auf ungepatchten Systemen kann das ausgenutzt werden. Einige Informationen finden sich auch bei Bleeping Computer.

Office-Update und 0patch-Lösung

Microsoft hat zum Patchday nur den alten Formeleditor EQNEDT32.EXE in den Office-Versionen gepatcht, die noch unterstützt werden. Im Blog-Beitrag Microsoft Office Sicherheitsupdates (14. November 2017) ist nachzulesen, dass Patches nur für Office 2007 bis Office 2016 für die MSI-Installer-Varianten bereitstehen, um CVE-2017-11882 zu schließen. Zum Problem wird das Ganze aber, falls das Sicherheitsupdate Ärger macht und deinstalliert werden muss.

Die Sicherheitsexperten von 0patch haben mich zum Wochenende kontaktiert und auf eine weitere Lösung hingewiesen. Deren Fachleute befassen sich mit Zero-Day-Exploits und entwickeln dazu entsprechende Zero-Day-Fixes, die per 0patch verteilt werden. Ich hatte deren Lösungen bereits vorgestellt (z.B. Drittanbieter 0Patch für FoxIt-Sicherheitslücke).

Im Blog-Beitrag Microsoft's Manual Binary Patch For CVE-2017-11882 Meets 0patch (vor 4 Tagen veröffentlicht) beschreiben die Spezialisten einen 0-Day-Micropatch zum Schließen der Lücke im Formeleditor. Der 0patch-Agent kann von deren Webseite heruntergeladen und auf Altsystemen ausgeführt werden. Weitere Details sind dem Artikel zu entnehmen. Dummerweise scheint der Patch nicht für Office-Versionen vor 2007 freigegeben zu sein.

Ergänzung: Nach Veröffentlichung des obigen Artikels habe ich noch eine Mail von opatch erhalten. We read your article on our analysis of the Equation Editor patch and would like to clarify that Office 2003 is, peculiarly, not vulnerable because for some reason, its Equation Editor executable is different and seems to have been built (or manually patched) 5 years later than the same executable in Office 2007, 2010, 2013 and 2016/365.

Ähnliche Artikel:
Hat Microsoft Zugriff auf Teile des Office-Quellcodes verloren?
MS Office Build-In-Feature: Missbrauch per selbst-replizierender Malware möglich
Microsoft Office Sicherheitsupdates (14. November 2017)
Microsoft Office Patchday (7. November 2017)
Drittanbieter 0Patch für FoxIt-Sicherheitslücke


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Hacker nutzen Office Formeleditor-Schwachstelle CVE-2017-11882 aus

  1. Doc WP sagt:

    Ich habe auf meinem Windows 10 System Office 2000 und Office 2010 paralell installiert.
    Die Datei findet sich auf C: allerdings nur einmal und an einem Ort, und zwar
    C:\Program Files (x86)\Common Files\microsoft shared\Equation\EQNEDT32.EXE
    und es handelt sich um die Version 2000.11.9.0.
    Sollte diese Datei wegen des Office 2010 Updates nicht die höhere Version haben ?
    NB: Office 2000 wird hier nur zum Neuerstellen von Dateien erstellt, fremde Dateien werden hiermit nicht geöffnet.

  2. Doc WP sagt:

    Auf der von Ihnen verlinkten Seite ist allerdings von der Version 2017.8.14.0 die Rede. Beim binären Patchen sollte doch auch das Patchen der Versionsnummer ein Leichtes sein.

  3. Dekre sagt:

    Frage und Hinweis:
    MS stellt für Word und OneNote ein Add-in für die Version 2007/2010 und 2013 bereit. Diese funktionieren gut.
    Ich gebe mal den Link aus der Suche mit dem Stichwort "mathematics":
    https://www.microsoft.com/de-de/search/result.aspx?q=mathematics
    Das weitere Programm dort ist MS Mathematics 4.0 – Das ist ein sehr guter Rechner!!
    Der Link zu den Add-Ins für Version 2007/2010 ist hier:
    https://www.microsoft.com/de-de/download/details.aspx?id=17786
    Bei dem Link für die Version 2013 kommt komischerweise:
    "We're sorry, this download is no longer available."
    Deshalb habe ich diesen nicht eingestellt.
    Zum Glück habe ich die exe-Datei separat hierfür noch.

    Ich habe Win7 und MS Office Prof 2013 (klick-und-los) und auch bei einem anderen PC MS Office Prof 2010. Die Add-ins laufen gut.

    Ich vermute mal, dass auf Win 10 diese nicht laufen bzw. MS dann dafür in ihrem Store Geld haben will. Das ist alles tolle Kundenpflege bei MS.

    Weiß Jemand ob diese Add-Ins auch betroffen sind?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.