In Microsoft Skype for Business gab es eine Schwachstelle, die einen Denial of Service-Angriffe ermöglichte. Besonders doof: War eine der Gimmick-Funktion, die Anzeige von Emojis ermöglichte Skype ins Nirvana zu schicken. Der Bug konnte in mehreren Anläufen gefixt werden.
Anzeige
Betroffen: Skype for Business
Skype for Business ist ja der mit Office ausgelieferte Instant-Messaging-Client, mit dem sich Skype-Telefonate führen lassen. Frühere Versionen wurden unter den Namen Microsoft Office Communicator und Lync angeboten. Von der Schwachstelle waren folgende Skype-Funktionen betroffen:
- Skype for Business 2015 (Lync 2013) vor v15.0.5075.1000
- Skype for Business 2016 vor v16.0.4756.1000
Getestet wurden Lync 2013 (15.0) 64-Bit (Bestandteil von Microsoft Office Professional Plus 2013) und Skype for Business 2016 MSO (16.0.93) 64-Bit. Diese Clients liefen beim Test unter Windows 10 Pro. Die Schwachstelle und weitere Details wurden von Sabine Degen vom Wiener Büro von SEC Consult Vulnerability Lab auf seclists.org beschrieben.
Die Schwachstelle und das Proof of Concept
Der Angriff konnte über eine Nachricht an Skype for Business durchgeführt werden. Dazu musste lediglich eine große Anzahl von Emojis (z.B. ~800 Kätzchen) in einer Skype-Nachricht eingebettet werden. Das führte dazu, dass der empfangende Skype-Client für einige Sekunden einfror und sich nicht mehr bedienen ließ.
Dies kann ausgenutzt werden, um Denial-of-Service-Angriffe gegen Skype for Business-Nutzer durchzuführen. So kann ein Angreifer beispielsweise kontinuierlich solche Nachrichten an den Skype-Chat senden. Die Chat-Fenster frieren dann für alle Teilnehmer ein. Diese können weder den Chat nutzen oder die Videoübertragung sehen.
Der Ton- und Videostream wird von einem separaten Thread verarbeitet und war daher nicht betroffen. Es dreht sich nur um die Funktionen im Zusammenhang mit der grafische Benutzeroberfläche, die unbrauchbar wird.
Ein Beispiel einer Nachricht, die die genannten Clients von Skype for Business zum Absturz bringen kann, ist auf seclists.org zu finden.
Workaround, Fixes und 'Bremsspuren'
Microsoft hat inzwischen diese Schwachstelle gefixt, wenn auch mehrere Anläufe notwendig waren. Nachdem der Fehler am 2. August 2018 gemeldet wurde, kam am 28. August 2018 auf Nachfrage der Sicherheitsforscherin die Meldung, dass der Bug reproduziert werden konnte. Als Workaround wurde vorgeschlagen, den 'angreifenden Nutzer' zu blockieren. Ende August 2018 entschied Microsoft – erst nach weiteren Nachfragen – den Bug zu fixen.
Microsoft gab an, am 2. Oktober 2018 das Problem mit Updates gefixt zu haben, ohne Details zu nennen. Nach weiteren Nachfragen der Sicherheitsforscher kam dann die Info, dass die Updates KB4461446 und KB4092445 (siehe Microsoft Office-Updates (2.10.2018)) das Problem korrigiert hätten.
Auf Nachfrage, warum der Fix des Problems nicht erwähnt wurde, kam eine merkwürdige Begründung. Das Update wurde fälschlich freigegeben, und sollte erneut im November 2018 freigegeben werden. Im Oktober 2018 wurde dann CVE-2018-8546 für den Bug zugewiesen. Die Clients wurden im November 2018 auf folgende Versionen aktualisiert:
Anzeige
- Skype for Business 2015 (Lync 2013) Version 15.0.5075.1000
- Skype for Business 2016 (KB4092445) Version 16.0.4756.1000
Nutzern von Skype for Business wird empfohlen, zeitnah auf die beiden oben genannten Versionen zu aktualisieren (siehe Microsoft Office-Updates (2.10.2018)).
Wenn ich mir die Historie der Kommunikation zwischen der Sicherheitsforscherin und Microsoft so ansehe, habe ich jedes Mal ein déjà vu-Erlebnis. Denn genau das lese ich aus dem Mail-Austausch heraus, den mir Stefan Kanthak gelegentlich zukommen lässt. Oder anders ausgedrückt: Manchmal tut sich Microsoft doch sehr schwer, Schwachstellen richtig zu kategorisieren und zügig zu beseitigen. Jetzt bin ich am sinnieren, woher mir das noch bekannt vorkommt. Weitere Details könnt ihr bei sceclists.org sowie bei Microsoft in den KB-Beiträgen KB4461446 und KB4092445 nachlesen.
Ähnliche Artikel
Microsoft Office-Updates (2.10.2018)
Skype-Sicherheitslücke angeblich seit Oktober 2017 gefixt
Skype-Sicherheitslücke in Update bleibt vorerst ungefixt
Microsoft und die Office 20xx-Sicherheitslücke in ose.exe
2015
Seit dem Update werden bei uns jedoch gar keine Emoticons mehr angezeigt. Stattdessen nur der Text der sich hinter diesen verbirgt bzw. sogar leere Chatzeilen. Hat das noch jemand?
Wir haben das bei manchen Rechnern nach der Installationen von KB4092445, bei anderen taucht das Problem erst nach KB4461473 auf. Eine Einheitlichkeit ist nicht festzustellen… (passiert sowohl auf W7, als auch auf W10 mit SfB)
Angeblich hilft es dies bei den Usern zu setzen (manuell oder besser per Policy):
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Lync\
DisableRicherEditCanSetReadOnly = 1
Komischerweise habe ich keine Probleme und bei mir ist der Wert auf "0" gesetzt…
kleine Ergänzung, es sieht so aus, als ob die Anzahl der Emojis pro Zeile beschränkt ist (auf 5), bevor die Emojis automatisch in Text umgewandelt werden… aber wenigstens verschwindet jetzt nichts mehr…