Microsoft Office Online Server: Ungefixte RCE-Schwachstelle

[English]Zum 8. November 2022 hat Microsoft zwar Sicherheitsupdates für seine Office Online Server veröffentlicht, um Schwachstellen in Word und Excel zu schließen. Meinen Informationen nach existiert eine Schwachstelle, (Server-Side Request Forgery, SSRF, bis RCE, Remote Code Execution) die Microsoft nicht beseitigen will.


Anzeige

Der Office Online Server von Microsoft ist die nächste Generation des Office Web Apps Servers. Office Online Server bietet browserbasierte Versionen von Word, PowerPoint, Excel und OneNote. Eine einzelne Office Online Server-Farm kann Benutzer unterstützen, die über SharePoint Server, Exchange Server, freigegebene Ordner und Websites auf Office-Dateien zugreifen. Das Produkt kann in SharePoint integriert werden, um einen webbasierten Zugriff auf diese Dokumente innerhalb von Sharepoint zu ermöglichen.

Sicherheitsupdates Nov. 2022

Ich hatte im Blog-Beitrag Patchday: Microsoft Office Updates (8. November 2022) auch die beiden Sicherheitsupdates für den Microsoft Office Online Server aufgelistet:

Beide Updates schließen nachfolgende Schwachstellen:

Allerdings werden nicht alle bekannten Schwachstellen in Microsoft Office Online Server beseitigt.

Offene Schwachstelle

Ich bin vor einiger Zeit bereits auf nachfolgenden Tweet von Will Dormann gestoßen, der auf das Thema hinweist. Es geht um eine RCE-Schwachstelle, die nicht behoben werden soll.

Unfixed vulnerability in  Microsoft Office Online Server

Sicherheitsexperten von MDSec haben während eines routinemäßigen Penetrationstests eine Server-Side Request Forgery-Schwachstelle, die unter den richtigen Bedingungen ausgenutzt werden kann, um Remotecodeausführung auf dem Office Online Server selbst zu erreichen, entdeckt.

Der Endpunkt /op/view.aspx in Office Online Server soll dazu dienen, Office-Dokumente von entfernten Ressourcen abzurufen und sie im Browser anzuzeigen. Der Endpunkt ist von einer klassischen serverseitigen Anforderungsfälschung (Server-Side Request Forgery) betroffen, bei der durch die Angabe eines HTTP(s)- oder UNC-Speicherorts eine Verbindung von der Anwendung initiiert wird. Betroffen sind alle Office Online Server Versionen bis einschließlich 16.0.10338.20039.


Anzeige

Das Team hat dem Microsoft MSRC die Schwachstelle in Microsoft Office Online Server gemeldet, das man die Remote Code Execution (RCE) als kritisch erachtete. Das Microsoft Security Response Center hat sich die Sache angesehen und geantwortet, dass man diese Schwachstelle nicht beseitigen werde. Die Sicherheitsforscher von MDSec haben die Details der Schwachstelle inzwischen im Blog-Beitrag Microsoft Office Online Server Remote Code Execution öffentlich gemacht.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Office, Sicherheit, Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Microsoft Office Online Server: Ungefixte RCE-Schwachstelle

  1. Michael sagt:

    Wie stark verbreitet sind eigentlich die Office Web Apps? Die Firmen, die ich kenne und Weboffice einsetzen, sind damit alle nur auf Office 365 unterwegs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.