Check Point findet vier Sicherheitslücken in Microsoft Office

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher des Anbieters Check Point haben in Microsoft Office durch Fuzzing vier Sicherheitslücken entdeckt. Laut Check Point sind Produkte der Office-Suite betroffen, darunter Excel und Word. Die Schwachstellen gehen auf veralteten Code zurück und eröffnen Angreifern die Möglichkeit, schädliche Befehlszeilen über versuchte Office-Dokumente auszuführen.


Anzeige

Die Information liegt mir bereits einige Tage vor. Die Forscher von Point Research (CPR), die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. hat sich Microsoft Office vorgenommen. Dabei  entdeckten die Sicherheitsforscher die Schwachstellen durch Fuzzing von MSGraph, einer Komponente, die in Microsoft-Office-Produkte eingebettet werden kann, um Graphen und Diagramme anzuzeigen.

Fuzzing ist eine automatisierte Software-Testtechnik, die versucht, Software-Bugs zu finden, indem sie zufällig ungültige und unerwartete Dateneingaben in ein Programm einspeist, um Fehler im Code und Sicherheitslücken aufzustöbern.

Mit Hilfe dieser Technik entdeckte CPR verwundbare Funktionen innerhalb von MSGraph. Ähnliche Code-Prüfungen bestätigten, dass die anfällige Funktion häufig in verschiedenen Microsoft-Office-Produkten, wie Excel, Office Online Server und Excel für OSX verwendet wird. Die Schwachstellen sind das Ergebnis von Parsing-Fehlern in veraltetem Code, was CPR zu der Annahme veranlasst, dass die Sicherheitslücken bereits seit Jahren bestehen.

Das gefährliche: Die gefundenen Schwachstellen können in die meisten Office-Dokumente eingebettet werden. Es sind daher mehrere Angriffswege denkbar. Der einfachste wäre:

  1. Das Opfer lädt eine bösartige Excel-Datei (XLS-Format) oder Word-Datei (DOCX-Format) oder Outlook-E-Mail (EML-Format) herunter. Das Dokument kann über einen Download-Link oder eine E-Mail bereitgestellt werden, aber der Angreifer kann das Opfer nicht dazu zwingen, es herunterzuladen.
  2. Das Opfer öffnet die verseuchte Datei.
  3. Die Sicherheitslücke wird ausgelöst.

Die gesamte Office-Suite kann beispielweise Excel-Objekte einbinden und in diesem Fall erweitert diese Funktionalität den Angriffsweg der Hacker. So wird es möglich, eine Attacke gegen fast jede Office-Software auszuführen.

CPR hat seine Forschungsergebnisse an Microsoft weitergegeben. Microsoft hat die Sicherheitslücken CVE-2021-31174, CVE-2021-31178 und CVE-2021-31179 durch veröffentlichte Updates geschlossen. Der vierte Patch für die Schwachstelle CVE-2021-31939 wurde am 8. Juni 2021 veröffentlich. Yaniv Balmas, Head of Cyber Research bei Check Point Software und verantwortlich für die Entdeckung, dazu:

Die gefundenen Sicherheitslücken betreffen fast das gesamte Microsoft-Office-Ökosystem. Es ist möglich, einen solchen Angriff gegen beinahe jede Office-Software durchzuführen, einschließlich Word, Outlook und Excel. Wir haben erkannt, dass die Schwachstellen auf Parsing-Fehler im Legacy-Code zurückzuführen sind. Eine der wichtigsten Erkenntnisse aus unserer Untersuchung lautet, dass Legacy-Code nach wie vor ein schwaches Glied in der Sicherheitskette ist, insbesondere bei komplexer Software wie Microsoft Office. Obwohl wir bei unserer Untersuchung nur vier Schwachstellen gefunden haben, kann man nie sagen, wie viele weitere Schwachstellen dieser Art noch offen herumliegen und darauf warten, gefunden zu werden. Ich empfehle Windows-Anwendern dringend, ihre Software sofort zu aktualisieren, da es zahlreiche Angriffswege gibt, über die ein Angreifer die von uns gefundenen Schwachstellen ausnutzen kann.

Check Point hat weitere Details in diesem Dokument veröffentlicht.

Ähnliche Artikel:
Patchday Microsoft Office Updates (8. Juni 2021)
Achtung Juni 2021-Patchday: Updates schnell installieren


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit Office, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.