Microsofts (Word) DDE-Patch teilweise wirkungslos?

Publiziert am 30. Dezember 2017 von Günter Born

[English]Im Dezember 2017 hat Microsoft Sicherheits-Updates für Microsoft Office herausgebracht, mit dem die DDE-Funktionalität deaktiviert werden sollte. Möglicherweise ist die Sicherheitslücke aber nicht komplett abgedichtet, da eine neue Malware-Kampagne die DDE-Schwachstelle adressiert.

Anzeige

Die DDE-Schwachstelle in Word

Zuerst ein paar Worte, um was es eigentlich geht. In Microsoft Office gibt es verschiedene Methoden zum Übertragen von Daten zwischen Anwendungen. Beim DDE-Protokoll handelt es sich um eine Sammlung von Meldungen und Richtlinien. Es ermöglicht Nachrichten zwischen Anwendungen zu senden, Daten gemeinsam nutzen, und verwendet Shared Memory, um Daten zwischen Anwendungen auszutauschen. Anwendungen können das DDE-Protokoll für den einmaligen Datentransfer und für den kontinuierlichen Austausch nutzen, bei dem Anwendungen sich gegenseitig Aktualisierungen senden, sobald neue Daten zur Verfügung stehen.

In den Microsoft Office-Modulen, die die DDE-Schnittstelle unterstützen gibt es eine Schwachstelle. Dieser Blog-Beitrag (Englisch) erklärt die DDE-Angriffstechnik. Im Blog-Beitrag Word DDE-Schwachstelle wird aktiv ausgenutzt hatte ich darauf hingewiesen, dass es wohl Malware-Angriffswellen gibt, die eine DDE-Schwachstelle in Microsoft Word ausnutzen, um Schadsoftware zu verteilen. Auch dieser Foreneintrag dokumentiert diesen Angriffsweg. Es reicht eine kompromittierte Word-Dokumentdatei zu öffnen, um über die DDE-Schnittstelle die Malware herunterzuladen und auszuführen.

Sicherheits-Advisory und Sicherheits-Patch für DDE

Die Schwachstelle wird aktiv von der russischen Hackergruppe Fancy Bear in Malware-Kampagnen ausgenutzt. Microsoft sah sich daher veranlasst, ein Advisory zum Abschalten der DDE-Funktionalität zu veröffentlichen. Ich hatte im Blog-Beitrag Microsoft Sicherheits-Ratschlag 4053440 zur DDE-Lücke darüber berichtet.

Im Rahmen des Dezember 2017-Patchday hat Microsoft dann Sicherheitsupdates für Word 2017 (KB4011575) bis Word 2007 freigegeben, die die DDE-Funktionalität deaktivieren sollen (siehe die Word-Updates im Blog-Beitrag Patchday: MS Office Sicherheitsupdates (12. Dezember 2017)).

DDE-Exploit nicht ganz geschlossen?

Mein Kenntnisstand war bisher, dass damit die DDE-Schwachstelle geschlossen sei. Über MVP-Kollegen bin ich dann aber auf den Artikel DDE exploits still happening despite Microsoft updates to stop them vom 25. Dezember 2017 gestoßen. Der Autor des Beitrags schreibt, dass es noch immer Malware-Kampagnen gäbe, die den DDE-Exploit verwenden.

Diese Angriffe unterscheiden sich etwas von früheren Versionen und die Word-Dokumente enthalten Makros mit einem sehr einfachen, Base64-kodierten PowerShell-Skript, das den DDE-Exploit enthält. Bei der Verwendung eines Office Malscanner wird das Makro nur mit einem DDE-Auto-Befehl und nicht mit einem separaten eingebetteten DDE-Objekt angezeigt, wie es in den Vorgängerversionen der Fall war.

Die Original-E-Mail wurde am 22. Dezember 2017 in das Anmeldesystem von myonlinesecurity.co.uk hochgeladen. Der Autor des Blog-Beitrags hat die Links in der betreffenden E-Mail in den letzten Tagen mehrmals ausprobiert. Allerdings gab es immer einen Timeout als Antwort. Das galt selbst für zahlreiche Proxy-Server, die er weltweit testete (um einen regionsabhängigen Trigger auszuschließen). Am 25. Dezember 2017 erhielt er tatsächlich eine Antwort auf den angeklickten Link. Es wurde ein bösartige Word-Dokument mit einem DDE-Exploit im Makro von der Zielseite heruntergeladen.

Der ursprüngliche Uploader der Mail dachte, dass es sich um eine Phishing-E-Mail handele, da ihm auch keine Payload zugestellt wurde. Die E-Mail gibt vor, von Ebay zu sein und fordert dem Empfänger auf, eine Rechnung herunterzuladen.

Anzeige

(Zum Vergrößern klicken, Quelle: myonlinesecurity.co.uk)

Leider geben die Websites, die die PowerShell kontaktiert, bis zum 25.12. eine 404-Antwort zurück. Dem Sicherheitsforscher ist es daher nicht gelungen, herauszufinden, wie die letztendliche Nutzlast aussieht. Der Sicherheitsforscher hat daher den Beitrag als allgemeinen Informationspost über die Verwendung von DDE in Makros publiziert. Denn scheinbar ist hinter den Kulissen jemand damit beschäftigt, eine neue Malware-Kampagne für einen DDE-Exploit aufzusetzen, der noch mit gepatchten Word-Versionen funktioniert. Administratoren in Unternehmen sollten das Thema also im Auge behalten. Weitere Details und Erläuterungen samt Screenshots der E-Mails finden sich hier.

Ähnliche Artikel:
Word DDE-Schwachstelle wird aktiv ausgenutzt
Sicherheit: Outlook patzt, Malware trotz Office Makrosperre ausführbar Undokumentiertes Word-Features für Angriffe benutzt

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Office, Sicherheit, Update abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.