Thema: Sicherheitslöcher in PowerPoint

[SiLæncer]

Mehrere Antivirus-Hersteller berichten über ein Trojanisches Pferd, das über präparierte Powerpoint-Dateien (PPT) verbreitet wird. Diese Dateien nutzen eine Schwachstelle in Microsoft Office aus, die im Security Bulletin MS06-012 vom 14. März 2006 behandelt wird.

Die Powerpoint-Dateien können zum Beispiel per Mail verschickt werden. Diese Mails können den Betreff "new plan" tragen und einen Anhang namens "newplan.ppt" enthalten. Der Text der Mails beginnt mit dem Satz "The operational plan of next week has revised and respond to us". Diese Mails könnten jedoch auch mit einem beliebigen anderen Betreff und Dateinamen sowie einem völlig anderen Text eintreffen.

Wird der Anhang in Powerpoint geöffnet, erscheint zunächst eine Grafik. Durch Ausnutzen einer Sicherheitslücke wird eine temporäre Datei mit zufälligem Namen angelegt. Diese enthält das Trojanische Pferd "Nithsys". Sie wird gestartet und legt zwei ausführbare Dateien an:

C:\Windows\System32\wbem\wmiadapt.exe
C:\Windows\System32\systhin.dll

Ferner werden Einträge in der Registry vorgenommen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
shell = Explorer.exe %System%\wbem\wmiadapt.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
<zufälliger Name> = <Pfad zur Datei>

Der Code in der Datei systhin.dll wird in den laufenden Prozess von svchost.exe (Generic Service Host) injiziert. Über den TCP-Port 6004 nimmt das Trojanische Pferd Kontakt zu einem Server unter der Domain der Samoa-Inseln (.as) auf. Ferner kann es eine weitere Datei namens "systanten.exe" aus dem Internet herunter laden und ausführen.

Bei Computer Associates (CA) wird die schädliche Powerpoint-Datei als " Win32/Okupok.B " geführt, bei McAfee als " BackDoor-CZL.dr " und bei Symantec. unter der Bezeichnung " Trojan.PPDropper ". Die Verbreitung ist recht gering. Möglicherweise werden bald neue Varianten im Umlauf gebracht, die dann auch eine eigene Ausbreitungsfunktion enthalten könnten.

Gegen die Sicherheitslücke in Microsoft Office gibt es seit Mitte März Updates für die Versionen Office 2000 und neuer sowie für Microsoft Works. Microsoft Office 97 und ältere Versionen werden nicht mehr unterstützt. Sie könnten von der Schwachstelle ebenfalls betroffen sein. Die bei Microsoft kostenlos erhältlichen Viewer für Office-Dateien sind von der Schwachstelle nicht betroffen.

Quelle : www.pcwelt.de

[SiLæncer]

Trojanisches Pferd kommt als PowerPoint-Datei daher

Microsofts Office-Komponente PowerPoint besitzt ein bisher unbekanntes Sicherheitsloch, das bereits von Schadcode ausgenutzt wird. Ein Trojanisches Pferd ist im Umlauf, das sich das Sicherheitsleck zu Nutze macht. Ein Opfer muss lediglich zum Öffnen einer präparierten PowerPoint-Datei gebracht werden.

Noch liegen nur unvollständige Informationen zu dem Trojanischen Pferd Troj_Mdropper.BH vor. Der Schädling gelangt auf fremde Systeme, indem das Opfer eine entsprechend manipulierte ppt-Datei mit PowerPoint öffnet. Daraufhin wird eine exe-Datei auf einem Windows-System abgelegt und der Unhold trägt sich so in die Registry ein, dass die Schadkomponente bei jedem Rechnerstart geladen wird. Außerdem versucht das Trojanische Pferd, Programmcode aus dem Internet nachzuladen. Bisher hat sich Troj_Mdropper.BH allerdings kaum verbreitet.

Zu den Ursachen der PowerPoint-Sicherheitslücke liegen noch keine weiteren Erkenntnisse vor. Auch ist unklar, in welchen PowerPoint-Versionen das Sicherheitsloch steckt. Voraussichtlich wird ein Patch zur Abhilfe frühestens am kommenden Patch-Day im November 2006 erscheinen. Bis dahin bleibt PowerPoint-Anwendern nur, Vorsicht beim Umgang mit PowerPoint-Daten aus nicht vertraulichen Quellen an den Tag zu legen. Alternativ kann eine andere Office-Software als die von Microsoft verwendet werden, um nicht Opfer solcher Angriffe zu werden.

Quelle : www.golem.de

[SiLæncer]

Warnungen vor einer angeblich neuen Lücke in PowerPoint machen derzeit die Runde. Ausgangspunkt der Berichte war eine Beschreibung des Herstellers Trend Micro zu dem Trojaner TROJ_MDROPPER.BH, der eine bislang unbekannte Lücke in PowerPoint ausnutzen soll. Das Internet Storm Center wies darauf in seinem Diary hin, was das Sicherheitsportal Securiteam zum Anlass nahm, eine FAQ zu dem Problem zu veröffentlichen und sie auf diversen Sicherheitsmailinglisten zu posten – offenbar ohne selbst jemals ein Exemplar des Schädlings untersucht zu haben. Sogar ein neuer CVE-Eintrag soll nach Angaben von Juha-Matti Laurio, dem Autor der FAQ, angelegt worden sein.

Mittlerweile hat Trend Micro seine Beschreibung des Trojaners aktualisiert. Derzufolge nutzt der Schädling eine bereits im März bekannte Lücke in Office (MS06-012) aus, die auf den meisten Windows-Rechnern längst geschlossen sein dürfte. Ein Test der heise-Security-Redaktion mit einem Sample des Trojaner auf einem Windows XP SP2 bestätigte dies: Es passierte nichts. Microsoft hat gegenüber US-Medien erklärt, dass man bei eigenen Analysen ebenfalls zu dem Schluss gekommen ist, dass es sich hierbei um eine alte Lücke handelt.

Zwar ist die Gefahr einer Infektion damit relativ gering. Entwarnung kann jedoch trotzdem nicht gegeben werden. Immerhin erkannten gestern nur wenige Virenscanner den neuen Trojaner. Anwender, die sich Office nachträglich installieren, sollten sicherstellen, dass Windows die Patches über das automatische Update installiert hat.

Siehe dazu auch:

    * Microsoft PowerPoint 0-day Vulnerability FAQ - August 2006,, Beschreibung von Securiteam
    * TROJ_MDROPPER.BH, Beschreibung von Trend Micro


Quelle und Links : http://www.heise.de/security/news/meldung/77094

[SiLæncer]

Als würden zwei ungepachte kritische Lücken im Internet Explorer und eine in Word noch nicht ausreichen, gesellt sich nun noch eine neu entdeckte Lücke in PowerPoint zur Liste der Einfallstore in Produkten von Microsoft.

Symantec berichtet von einem trojanischen Pferd namens Trojan.PPDropper.E, das über eine nicht dokumentierte Schwachstelle in PowerPoint den Rechner beim Öffnen eines präparierten Dokumentes infiziert und weitere Dateien auf dem Rechner installiert – darunter auch eine Backdoor. Der Schädling soll sich auf sämtlichen Windows-Versionen einnisten können. Welche PowerPoint-Versionen verwundbar sind, schreibt Symantec allerdings nicht, auf Sicherheitsmailinglisten wird aber berichtet, dass die Lücke zumindest unter PowerPoint 2000 auf chinesischen Systemen nachvollzogen wurde.

Ein Patch steht noch nicht zur Verfügung. Immerhin stellt Symantec schon Signaturen bereit, mit denen die Scanner PPDropper erkennen sollen. Ob Microsoft überhaupt schon über das neue Problem informiert wurde, ist unklar. Bereits mit den drei zuvor gemeldeten Zero-Day-Exploits dürften die Redmonder schon zu knabbern haben, um zum nächsten Patchday Sicherheits-Updates veröffentlichen zu können. Vielleicht handelt es sich aber auch nur um einen Fehlalarm. Mitte August verunsicherte Trend Micro mit einer angeblich neuen Lücke in PowerPoint weltweit Anwender. Bei genaueren Analysen stellte sich aber heraus, dass es sich um eine bereits bekannte und längst gestopfte Lücke handelte.

Derzeit scheint der Trojaner noch kaum verbreitet zu sein. Wahrscheinlich wird er wie die vergangene PowerPoint-Lücke im Juli nur für zielgerichtete Attacken benutzt.

Siehe dazu auch:

    * Trojan.PPDropper.E, Beschreibung von Symantec


Quelle und Links : http://www.heise.de/security/news/meldung/78407

[SiLæncer]

Symantec hat seine Meldung zu dem kürzlich aufgetauchten PowerPoint-Trojaner PPDropper.E revidiert und geht nun nicht mehr von einer neuen Lücke aus. Vielmehr dringt der Schädling über eine bereits seit März bekannte Lücke ein, für die auch schon längst Updates verfügbar sind. Zumindest für dieses Problem kann also Entwarnung gegeben werden. Leider bleiben drei weitere Lücken weiterhin offen, zwei im Internet Explorer und eine in Word.

Auch Trend Micro unterlag im Juli einer Fehleinschätzung bei der Analyse des PowerPoint-Trojaners TROJ_MDROPPER.BH und ging zunächst von einem neuen Loch aus. Kurze Zeit später stellte sich heraus, dass auch diese Lücke bereits bekannt war. Sowohl PPDropper.E als auch TROJ_MDROPPER.BH nutzen die gleiche Lücke in Office aus.

Die Fehleinschätzung der Hersteller von Sicherheitsprodukten zeigt, wie hektisch es derzeit im Sicherheitsbereich vor sich geht. Zum einen müssen Kunden möglichst schnell vor neuen Bedrohungen gewarnt und geschützt werden. Zum anderen bringt die Veröffentlichung einer neuen Lücke dem Entdecker in der Öffentlichkeit und der Sicherheitsszene Aufmerksamkeit und Anerkennung. Offenbar führt dieser Wettbewerb unter anderem dazu, das Analysen nicht mit der notwendigen Sorgfalt durchgeführt werden und die Bestätigungen anderer Spezialisten vor der Veröffentlichung nicht mehr abgewartet werden.

Quelle und Links : http://www.heise.de/security/news/meldung/78478

[SiLæncer]

Bei Meldungen der Hersteller von Antivirensoftware über neue Lücken in PowerPoint musste man in letzter Zeit etwas vorsichtig sein, da sich zwei der Warnungen als unbegründet erwiesen. Nun weist aber Microsoft selbst auf ein neues kritisches Sicherheitsloch in PowerPoint hin, mit dem sich durch manipulierte Präsentationen Schädlinge auf einem Computer installieren lassen. Betroffen sind neben Windows- diesmal auch Mac-Anwender, da die Lücke neben PowerPoint 2000, 2002 und 2003 auch in PowerPoint 2004 für Mac und PowerPoint v. X für Mac steckt.

Nach Angaben von McAfee gibt es auch erste nicht-öffentliche Exploits im Internet, die die Lücke ausnutzen. Auch Symantec soll bereits Exploits analysieren. Offenbar weiß Microsoft bereits seit fünf Tagen von derartigen Exploits, so vermutet zumindest Craig Schmugar von McAfees Avert-Labs in einem Blog-Eintrag. Ein Test mit Microsofts Malware Protection Scanner hätte bereits die Exploits als Win32/Controlppt.W und Win32/Controlppt.X erkannt, obwohl das letzte Update des Scanners auf den 23. September datiert ist. Die Exploits verbinden sich zu einem bestimmten Server, um Befehle entgegenzunehmen.

Worauf die Lücke in PowerPoint genau zurückzuführen ist, schreibt Microsoft in seinem Fehlerbericht nicht. Da es noch keinen Patch gibt, schlagen die Redmonder vor, zum Öffnen von PowerPoint-Dateien nur den PowerPoint Viewer 2003 einzusetzen, da der Fehler dort nicht enthalten sei.

Siehe dazu auch:

    * Vulnerability in PowerPoint Could Allow Remote Code Execution, Fehlerbericht von Microsoft

Quelle und Links : http://www.heise.de/newsticker/meldung/78785

[SiLæncer]

Was bereits nach den letzten Microsoft-Patchdays zu beobachten war, setzt sich nun fort: Wieder ist kurz nach Veröffentlichung von Sicherheits-Updates für Excel, PowerPoint und Word ein neuer Exploit aufgetaucht, der ein bis dato unbekannte Lücke ausnutzt. Diesmal hat es erneut PowerPoint 2003 getroffen. Nach Angaben des Microsoft Security Response Centers befindet sich der Exploit noch im Proof-of-Concept-Stadium. Auch habe man noch keine präparierten Dokumente im Internet gesichtet, die PCs beim Öffnen infizieren. Es ist aber damit zu rechnen, das sich dies bald ändern wird.

Der Zeitpunkt hat durchaus Methode: So genannte Crimeware Gangs haben sich inzwischen auf Microsofts Zyklus eingestellt und nutzen Exploits für von ihnen entdeckte, aber noch nicht veröffentlichte Lücken kurz nach dem Patchday. Bis zum nächsten Patchday haben sie dann vier Wochen, in denen Anwender für diese Schwachstellen verwundbar sind – falls Microsoft kein außerplanmäßiges Update verteilt. Allerdings wurden präparierte Office-Dokumente in den letzten Monaten nur für relativ zielgerichtete Angriffe per Mail benutzt. Die Mehrheit der Anwender scheint also nicht unbedingt direkt gefährdet zu sein, was vermuten lässt, dass sich Microsoft bis zum Patchday im November Zeit nimmt. Am Dienstag dieser Woche schlossen die Redmonder jeweils vier andere Lücken in PowerPoint, Excel und Word.

Anwender sollten unverlangt zugesandte Office-Dokumente nur mit äußerster Vorsicht öffnen und im Zweifel beim Absender nachfragen. Alternativ können sie auch OpenOffice einsetzen.

Siehe dazu auch:

    * PoC published for MS Office 2003 PowerPoint, Meldung des Microsoft Security Response Centers
    * Microsoft bestätigt neue Lücke in PowerPoint, Meldung auf heise Security
    * Trojaner dringt über undokumentierte PowerPoint-Lücke in Windows-PCs ein, Meldung auf heise Security
    * Zero-Day-Exploit für Powerpoint, Meldung auf heise Security
    * Microsoft bestätigt Sicherheitslücke in Word 2000, Meldung auf heise Security
    * Neuer Trojaner für Zero-Day-Lücke in MS Office 2000, Meldung auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/79464

[SiLæncer]

Die Entwickler von KOffice wollten sich nach Veröffentlichung von Version 1.6 zwar auf die Weiterentwicklung der Version 2.0 konzentrieren. Neben zahlreichreichen Bugs hat sie nun aber eine kritische Sicherheitslücke zur Veröffentlichung des Bugfix-Releases 1.6.1 gezwungen. Darin ist ein Buffer Overflow im Präsentationsprogramm KPresenter behoben, den manipulierte PowerPoint-Dateien im Import-Filter provozieren können. Ein Angreifer könnte über präparierte Dateien die Anwendung zum Absturz bringen. Wahrscheinlich lässt sich aber auch Code auf den Stack schreiben und mit den Rechten des Nutzers ausführen.

Eine solche Datei kann etwa als Anhang einer Mail oder per Download auf den Rechner gelangen. Ähnliche Angriffe gab es bereits auf Windows-Anwender, bei denen bösartige PPT-Dateien den Rechner eines Anwenders über verwundbare PowerPoint-Installationen mit Schädlingen infizierten. Der Fehler in KPresenter ist daher nach Meinung der Entwickler Grund genug, die neue KOffice-Version zu installieren. Alle anderen rund 100 nicht sicherheitsrelevanten Bugfixes und Verbesserungen sind quasi eine Dreingabe. Die Linux-Distributoren geben bereits aktualisierte KOffice-Pakete heraus.

Neben den Sicherheitskorrekturen und Bug-Fixes haben die KOffice-Entwickler aber auch kleinere neue Features in der Bildbearbeitung Krita (Farbwert-Filter) und der Datenbank Kexi (Parameter-Queries, Lookup-Spalten) eingeführt.

Siehe dazu auch:

    * KOffice 1.6.1 Changelog, Fehlerbeschreibungen zu KOffice

Quelle und Links : http://www.heise.de/security/news/meldung/81809

[SiLæncer]

Fehler wird bereits von Schadsoftware ausgenutzt

Microsoft berichtet über ein Sicherheitsleck in der Office-Software PowerPoint, das bereits von Schadsoftware ausgenutzt wird. Dadurch können Angreifer beliebigen Programmcode ausführen und so ein fremdes System unter ihre Kontrolle bringen.
Zur Ausnutzung der Sicherheitslücke genügt es, einen Anwender zum Öffnen einer präparierten PowerPoint-Datei zu verleiten. Nach Angaben von Microsoft wird das Sicherheitsleck bereits ausgenutzt, der betreffende Schadcode soll aber noch nicht besonders weit verbreitet sein. Wann ein Patch zur Beseitigung des Fehlers erscheint, ist noch nicht bekannt.

Der Fehler befindet sich in PowerPoint 2000, 2002 sowie 2003 und 2004 für Mac. Andere PowerPoint-Versionen sowie der PowerPoint-Viewer sind davon nicht betroffen.

Quelle : www.golem.de