Thema: 3-2-1-meins: Ein Excel-Sicherheitsloch

[SiLæncer]

Eine Sicherheitslücke in Microsofts Spreadsheet-Programm Excel war Gegenstand eines Auktionsangebots bei Ebay. Das Gebot für den Exploit, die Software zum Ausnutzen der Sicherheitslücke, stand laut einem Bericht der EWeek bei 53 US-Dollar, als das Internet-Auktionshaus nach Intervention von Microsoft die Versteigerung stoppte.

Der Anbieter mit dem Peusonym "fearwall" wollte sich offenbar über den Software-Giganten lustig machen und die zögerliche Behebung von Sicherheitsproblemen kritisieren. Er offerierte Microsoft-Mitarbeitern einen "Spezialrabatt" unter der Bedingung, dass sie sich durch Nennung ihrer offiziellen Mailadresse "...@microsoft.com" und des Rabatt-Codes "LINUXRULZ" bei ihm auswiesen. In der Beschreibung nannte er einige Details der Sicherheitslücke und gab an, die Information sei Microsoft bereits am 6. Dezember übermittelt worden. Danach soll sich ein präpariertes Excel-Dokument zum Einschleusen und Ausführen von Schadcode auf einem Windows-PC missbrauchen lassen. Dazu genüge es, das Dokument mit Excel zu öffnen. Ursache der Sicherheitslücke sei die Funktion msvcrt.memmove(), die bei zu großen Werten einen Pufferüberlauf verursache und den Stack überschreibe.

Microsoft hat laut dem Bericht des Magazins bestätigt, dass über Excel auf diese Weise Schadsoftware in einen Rechner eingeschleust werden kann. Es seien aber noch keine Kunden davon betroffen worden. Einen Patch gibt noch nicht.

Quelle und Links : http://www.heise.de/security/news/meldung/67219

[SiLæncer]

Das Microsoft Security Response Center berichtet von einer neuen Schwachstelle in Excel, die Angreifer mittels präparierter Excel-Dateien ausnutzen. Bis jetzt liege nur eine einzelne Meldung über ein präpariertes, schädliches Excel-Dokument vor. Die Zusammenfassung der Sicherheitsexperten vom bisher erlangten Wissen über die Schwachstelle: Ein Benutzer muss das manipulierte Excel-Dokument öffnen; es kann als E-Mail-Anhang oder auf andere Art und Weise auf den Rechner des Opfers gelangen.

Dem Blog des Sicherheitsportals SecuriTeam zufolge schleust die schädliche Excel-Datei den Trojaner und Downloader Downloader.Booli.A auf den Rechner ein, nachdem sie die Sicherheitslücke in der Tabellenkalkulation erfolgreich durch das Anlegen und Aktivieren des Trojan-Droppers Trojan.Mdropper.J ausgenutzt hat – die Vorgängerversionen Mdroppper.H und .I kamen bei der Zero-Day-Lücke in Word im vergangenen Monat zum Einsatz. Auch sonst ähnelt die Vorgehensweise der Angreifer ganz der vor etwa vier Wochen: Auch dort haben sie die manipulierten Dokumente gezielt in kleiner Auflage an Mitarbeiter eines Unternehmens verschickt.

Microsofts Sicherheitsexperten haben inzwischen für das Live Safety Center Erkennungsroutinen für die manipulierten Excel-Dateien entwickelt. Es fände weiterhin reger Informationsaustausch mit den Partnern der Microsoft Security Response Alliance statt. Empfänger von ungefragt zugesandten E-Mails mit Excel-Dateianhängen sollten diese Dateien nicht öffnen. Auch heruntergeladene Excel-Dateien von nicht vertrauenswürdigen Quellen sollten erstmal gelöscht oder nicht geöffnet werden, bis die Virenscanner mit Signaturen zur Erkennung schädlicher Dokumente ausgestattet werden.

Siehe dazu auch:

    * Reports of a new vulnerability in Microsoft Excel, Blogeintrag des Microsoft Security Response Center

Quelle und Links : http://www.heise.de/security/news/meldung/74341

[SiLæncer]

Microsoft hat eine Sicherheitsmeldung zur gerade bekannt gewordenen Schwachstelle in Excel herausgegeben. Darin erläutert das Unternehmen auch Maßnahmen, mit denen sich Anwender bis zur Veröffentlichung eines Patches schützen können. Betroffen von dem Fehler sind Nutzer von Excel 2003, Excel Viewer 2003, Excel 2002, Excel 2000, Microsoft Excel 2004 für Mac sowie Microsoft Excel v.X für Mac.

Neben allgemeinen Maßnahmen wie dem Blockieren von Excel-Dateianhängen in E-Mails auf dem Mailserver oder dem Entfernen aller Verknüpfungen von Excel mit Excel-Dokumenten in der Registry schlägt Microsoft vor, den Reparatur-Modus von Excel zu deaktivieren. Dazu müssen unter Windows XP die Zugriffsrechte auf den Registry-Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Excel\Resiliency modifiziert werden.

Existiert der Schlüssel nicht, sollte er angelegt werden. Mit einem Rechtsklick auf den Schlüssel im Registry-Editor öffnet sich das Kontext-Menü, aus dem der Punkt "Berechtigungen" ausgewählt werden soll. Anschließend muss man in dem Fenster, das sich nach Anwählen der Option "Erweitert" öffnet, das Häkchen von der Option "Berechtigungen übergeordneter Objekte auf untergeordnete Objekte, sofern anwendbar, vererben. Diese mit den hier definierten Einträgen mit einbeziehen" entfernen. In dem dann erscheinenden Dialog mit den Optionen "Kopieren", "Entfernen" und "Abbrechen" soll "Entfernen" ausgewählt werden. Dies blockiert für jedermann den Zugriff auf den Schlüssel, wodurch der Reparaturmodus deaktiviert wird. Anschließend funktioniert der Zero-Day-Exploit aber auch nicht mehr.

Vor diesen Änderungen sollte ein Backup vom System angefertigt oder zumindest ein Wiederherstellungspunkt gesetzt werden, da versehentliche Änderungen an Registry-Schlüsseln dazu führen können, dass das Windows nicht mehr korrekt funktioniert. Eine einfachere Variante könnte jedoch sein, temporär oder dauerhaft auf ein alternatives Bürosoftwarepaket wie OpenOffice umzusteigen. Es kann allerdings nicht alle komplexen Vorlagen und Dokumente sauber konvertieren, sodass dieser Weg nicht jedem freisteht.

Siehe dazu auch:

    * Vulnerability in Excel Could Allow Remote Code Execution, Sicherheitsmeldung von Microsoft

Quelle und Links : http://www.heise.de/newsticker/meldung/74443

[SiLæncer]

Microsoft hat kurz nach Bekanntwerden einer Sicherheitslücke in Excel eine weitere Lücke im Tabellenkalkulationsprogramm bestätigt. Diesmal handelt es sich um einen Buffer Overflow beim Klicken auf überlange Links in Excel-Dokumenten. Nach Angaben der Sicherheitsspezialisten von Secunia eignet sich die Lücke, um darüber beliebigen Code in ein System zu schleusen und auszuführen. Angreifer könnten so mittels präparierter Dokumente ein System mit Viren und Würmer infizieren.

Im Unterschied zur in der vergangenen Woche veröffentlichten Lücke genügt es jedoch diesmal nicht, nur ein Dokument zu öffnen, um einen Rechner zu infizieren. Vielmehr muss der Anwender aktiv auf einen manipulierten Link in einer Excel-Datei klicken. Aufgrund der erforderlichen Nutzerinterkation wird das Problem statt "etxrem kritisch" auch nur als "hoch kritisch" eingestuft. Der Fehler steckt in der Windows-Komponente hlink.dll, die neben Excel auch von anderen Anwendungen benutzt wird und zum Lieferumfang von Windows 2000, XP und Server 2003 gehört. Betroffen sind Excel 2000, 2002, 2003, Excel Viewer 2003, Office 2000, Office 2003 Professional Edition, Office 2003 Small Business Edition, Office 2003 Standard Edition, Office 2003 Student und Teacher Edition sowie Office XP. Derzeit herrscht aber noch Unklarheit, in welchen Kombinationen das Problem auftritt und ob etwa auch Word-Dokumente betroffen sind.

Ein Patch steht noch nicht zu Verfügung, auch die andere Lücke in Excel klafft weiterhin, für die die Redmonder bislang nur einen Workaround herausgegeben haben.

Siehe dazu auch:

    * Information on Proof of Concept posting about hlink.dll, Blogeintrag vom Microsoft Security Response Center
    * Microsoft Excel Unicode Overflow , Fehlermeldung auf Full Disclosure

Quelle und Links : http://www.heise.de/newsticker/meldung/74515

[SiLæncer]

Für Excel kommt es nun ganz dicke: Der Sicherheitsspezialist Debasis Mohanty will eine dritte Lücke in Excel ausgemacht haben, die sich ausnutzen lassen soll, um den Windows-PC etwa mit Schädlingen zu infizieren. Dazu genügt es laut Mohanty, eine Shockwave-Datei in ein Excel-Dokument einzubetten – beim Öffnen des Dokumentes startet die Flash-Animation automatisch und führt in der Shockwave-Datei eingebetteten JavaScript-Code aus. Dieser Code kann etwa ein ActiveX-Control laden, um Zugriff auf die Systemresourcen zu erhalten. Allerdings muss dazu auch schon das Control verwundbar und für andere Anwendungen als "sicher für Skripting"-gekennzeichnet sein, damit diese es steuern können. Ein Angreifer muss also gleich zwei Lücken ausnutzen.

Mohanty stellt zu Demonstrationszwecken ein präpariertes Excel-Sheet zum Download bereit. Bei einem kurzen Test der heise-Security-Redaktion auf vier Windows-XP-SP2-PCs mit allen Patches und Office 2003 öffnete und schloss sich nur kurz ein Browser-Fenster. Ein Rechner zeigte immerhin eine Fehlermeldung, dass offenbar das Ausführen des Scripts fehlgeschlagen war. Bei einem Rechner mit XP-SP2 und Office 2003 aber ohne weitere Patches passierte ebenfalls nichts.

Ob nur der Proof-of-Concept-Code fehlerhaft ist oder die Lücke sich nicht ausnutzen ließ, ist noch nicht klar und wird weiter getestet. Gegenüber US-Medien weist Microsoft aber darauf hin, dass derzeit in diesem Zusammenhang ohnehin keine Controls bekannt seien, die sich aunsutzen ließen. Unter anderem verhindert Microsoft über sogenannte Kill Bits das Laden von Controls in den Internet Explorer. Die Redmonder setzen seit Ende vergangenen Jahres mit den veröffentlichten kumulativen Patches für ihren Browser zahlreiche Kill Bits, um als verwundbar eingestufte Objekte zu blockieren. Ob das neue Problem einen Patch erfordert, bleibt offen. Ob für die zwei anderen, noch ungepatchten Lücken in Excel rechtzeitig zum kommenden Patch-Day im Juli ein Update erscheint, ist ebenfalls noch unklar.

Siehe dazu auch:

    * Microsoft Excel 'Shockwave Flash Object' Lets Remote Users Execute Code Automatically, Fehlerbericht von Debasis Mohanty


Quelle und Links : http://www.heise.de/security/news/meldung/74586

[SiLæncer]

Kein Patch von Microsoft verfügbar

In Microsofts Tabellenkalkulation Excel wurde ein Sicherheitsloch gefunden. Angreifer können darüber beliebigen Programmcode ausführen. Opfer müssen lediglich dazu gebracht werden, eine entsprechend manipulierte XLS-Datei zu öffnen.

Das Fortinet Security Research Team (FSRT) hat das Sicherheitsloch in Excel bereits am 1. Januar 2007 entdeckt, aber bislang steht kein Patch von Microsoft zur Verfügung. Durch einen Speicherfehler kann Excel mit Hilfe einer präparierten XLS-Datei gezielt zum Absturz gebracht werden, was dann das Ausführen beliebigen Programmcodes gestattet.

Das Sicherheitsloch wurde für Excel 2000, 2002, 2003 sowie den Excel-Viewer 2003 bestätigt. Auch Excel für MacOS X ist von dem Problem betroffen. Excel 2007 soll gegen den Fehler immun sein.

Als Workaround bleibt derzeit nur, XLS-Dateien nicht mehr mit Excel zu öffnen oder allgemein bei der Anzeige von XLS-Dateien große Vorsicht walten zu lassen und solche Dokumente nur aus vertrauenswürdigen Quellen zu laden.

Quelle : www.golem.de

[SiLæncer]

Derzeit häufen sich die Lücken in Microsoft Office: Nachdem fünf ungepatchte Lücken in Word bekannt geworden sind, hat es jetzt auch Excel erwischt. Schuld ist diesmal, ebenso wie zuletzt bei Word, eine Zero-Day-Lücke, mit der ein Angreifer die gleichen Rechte wie der Benutzer bekommen kann. Betroffen sind die Excel-Versionen 2000, XP, 2003 und auch Office 2004 für Mac. Microsoft will nicht ausschließen, dass auch andere Office-Anwendungen betroffen sind; Works-Anwender sollen dagegen auf der sicheren Seite sein.

Bis Microsoft einen Flicken veröffentlicht, bleiben nur die allgemeinen Ratschläge, um die Sicherheitslücke zu umgehen: Virenschutz verwenden, keine Mail-Anhänge öffnen, nicht mit Admin-Rechten arbeiten und Software aktualisieren – Excel 2007 ist nicht betroffen.

Siehe dazu auch:

    * Vulnerability in Microsoft Office Could Allow Remote Code Execution Sicherheitsnotiz von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/84742

[SiLæncer]

Der Sicherheitsdienstleister Secure Computing warnt vor Webseiten und E-Mails, die Sicherheitslücken in Microsofts Excel sowie in der Vector Markup Language (VML) ausnutzen könnten, um Schadcode auf Rechner von Opfern zu schleusen. Das Unternehmen hat Demonstrationsprogramme entdeckt, die die von Microsoft am August-Patchday geschlossen Schwachstellen missbrauchen.

Der Dienstleister geht davon aus, dass der Demonstrationscode, der die Schwachstellen in der VML-Komponente ausnutzt, sehr bald seinen Weg in automatische Webangriffswerkzeuge wie Mpack findet: Auf nicht gepatchten Systemen lässt sich die Lücke automatisiert von Webseiten im Internet Explorer ausnutzen. Die Excel-Lücke erfordert vom Anwender das Öffnen eines infizierten Dokuments und werde daher wahrscheinlich eher mit E-Mail-Anhängen ausgenutzt.

Anwender können sich schützen, indem sie die Updates, die Microsoft vor etwa zwei Wochen bereitgestellt hat, installieren und anschließend ihren Rechner neu starten. Weitere Hinweise zum sicheren Umgang etwa mit E-Mails liefern die Anti-Virus-Seiten von heise Security.

Siehe dazu auch:


Microsoft-Patchday: 15 Sicherheitslücken weniger, Meldung auf heise Security
Weitere Details zu Web-Attack-Toolkit MPack, Meldung auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/95036/Demo-Exploits-nutzen-Luecken-in-Excel-und-VML-aus

[SiLæncer]

Bislang offiziell unbestätigten Berichten zufolge hat der Antiviren-Hersteller Symantec einen Schädling abgefangen, der eine bislang unbekannte Sicherheitslücke in Microsoft Excel ausnutzt, um weiteren Schadcode nachzuladen und zu installieren. Derartige Lücken werden typischerweise ausgenutzt, indem speziell präparierte Office-Dateien an ausgewählte Empfänger verschickt werden.

Konkrete Informationen sind allerdings bislang Mangelware. Bekannt ist lediglich, dass zumindest Microsoft Excel 2007 anfällig sein soll; andere Versionen können ebenfalls verwundbar sein.

Der beste Schutz gegen derartige Sicherheitsprobleme ist es, Office-Dateien und ähnliche Mail-Anhänge nur dann zu öffnen, wenn ihr Versand mit dem Absender abgesprochen war.

Quelle : www.heise.de

[SiLæncer]

Nur wenige Stunden nach dem Bekanntwerden bestätigt Microsoft die Existenz einer Sicherheitslücke in Microsoft Excel mit einer eigenen Sicherheitsnotiz (968272). Über speziell präparierte Office-Dateien können Angreifer Code einschleusen und ausführen. Nach bisherigen Erkenntnissen würde die Lücke aber nur in begrenztem Ausmaß für gezielte Angriffe eingesetzt.

Betroffen sind nicht nur die Windows-Versionen von Excel bis einschließlich Microsoft Office Excel 2007 Service Pack 1 sondern auch diverse Excel Viewer und die Mac-Version Microsoft Office 2008 for Mac. Als Schutz schlägt Microsoft eine Reihe von Workarounds vor, deren wichtigster darin besteht, keine Office-Dateien zu öffnen, die nicht aus vertrauenswürdigen Quellen stammen oder unangekündigt eintreffen. Bei der Frage, wann es einen Patch geben wird, der die Lücke stopft, legen sich die Redmonder wie üblich noch nicht fest. Der nächste reguläre Patchday wäre erst in zwei Wochen am 10. März.

Parallel dazu kündigt Microsoft die Verfügbarkeit eines Updates für die Autorun-Funktion an, das auch über den automatischen Update-Service verteilt werden soll. Wie heise Security berichtete, funktioniert das Abschalten der Autorun-Funktionen beim Einstecken von USB-Sticks nicht so, wie es eigentlich sollte. Von diesem Fehler profitierte der Conficker-Wurm, der sich vor allem über infizierte USB-Sticks in Firmen- und sogar Militärnetze einschleichen konnte. Das Update schaltet nicht etwa Autorun ab, sondern sorgt lediglich dafür, dass es auch wirklich aus ist, wenn es der Administrator wie beschrieben deaktiviert.

    * Vulnerability in Microsoft Office Excel Could Allow Remote Code Execution, Sicherheitsnotiz von Microsoft
    * Update for Windows Autorun, Sicherheitsnotiz von Microsoft

Quelle : www.heise.de