Thema: Neue offene Sicherheitslücke in Word

[SiLæncer]

In seinem Sicherheitsblog meldet Microsoft, dass das Unternehmen derzeit eine weitere Sicherheitslücke im Office-Programm Word untersuche, durch die kriminelle Individuen Schadcode auf Opferrechner schleusen und ausführen können. Die Redmonder schränken ein, dass die Lücke nur gezielt und begrenzt ausgenutzt werde.

Damit stehen seit vergangener Woche zwei sogenannte Zero-Day-Lücken in Word offen, es gibt bislang noch keine Patches dagegen. Dass der Softwareriese am morgigen Dienstag, Microsofts Dezember-Patchday, die Lücke schon mit einem Update schließt, ist unwahrscheinlich. Für den Patchday hat Microsoft keine Updates für Office angekündigt.

Die zweite Zero-Day-Schwachstelle betrifft Word 2000, 2002, 2003 und den Word Viewer 2003; lediglich Word 2007 patzt nicht bei den manipulierten Dokumenten. Betroffene Anwender sollten Microsoft Office 2007 oder ein alternatives Office-Programm von einem anderen Hersteller nutzen, bis ein Update verfügbar ist. Dokumente von dubiosen Webseiten oder unverlangt zugesandte Word-Dokumente sollten Anwender beispielsweise zumindest vorläufig mit OpenOffice bearbeiten.

Siehe dazu auch:

    * New Report of A Word Zero Day, Sicherheitsmeldung von Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/82318

[Jürgen]

Dokumente von dubiosen Webseiten oder unverlangt zugesandte Word-Dokumente sollten Anwender beispielsweise zumindest vorläufig mit OpenOffice bearbeiten.

...das nenne ich 'mal einen richtig guten Tip! Hut ab ob dieser Erkenntnis...

Bloss frage ich mich, ob man dann das "Original" noch braucht...

Na gut, in der Firma ham' wir wohl nich' immer die Wahl.
Wie auch immer, Dateien von anderen Rechnern sind für mich IMMER dubios.
Genauso wie E-Mails, auch von Freunden oder (erst recht) vom Chef...

[SiLæncer]

Eine dritte ungepachte Sicherheitslücke hat sich in Word aufgetan, über die Angreifer mittels präparierter Dokumente einen Rechner beim Öffnen infizieren könnten. Ein öffentlich verfügbarer Exploit zeigt, wie man den Stack kontrolliert überschreibt. Word stürzt dabei aber bislang nur ab. Zuvor haben andere Angreifer schon versucht, die Lücke gezielt auszunutzen und Code einzuschleusen. Laut McAfee seien unter anderem am Sonntag drei Mitarbeiter eines bekannten Unternehmens per Mails mit präparierten Word-Dateien attackiert worden.

Microsoft ist über die Lücke informiert und untersucht das Problem. Im Blog des Security Response Teams ist aber noch keine weitere Information verfügbar. Wie schon bei den zwei zuvor gemeldeten Lücken in Word gibt es auch diesmal kaum Informationen. Der Sicherheitsdienstleister eEye geht zwar auch in seiner Zero-Day-Tracking-Liste von einer neuen Lücke aus, schließt aber nicht gänzlich aus, dass der verfügbare Exploit doch nur eine der zwei bereits gemeldeten Lücken ausnutzt. Allerdings zeigt das letzte Halbjahr, dass Exploits für Lücken in Office mittlerweile im Monatsrhythmus auftauchen. Drei Lücken in acht Tagen sind also nicht wirklich überraschend, im Sommer dieses Jahres traf es PowerPoint ungewöhnlich oft.

Ein Patch steht nicht bereit – für alle drei Lücken nicht. Anwender sollten erwägen, auf andere Produkte auszuweichen, etwa auf OpenOffice. Ist dies nicht möglich, sollten Word-Dokumente, egal aus welcher Quelle sie angeblich stammen, nur nach vorheriger Nachfrage beim Absender oder Autoren geöffnet werden. Bei früheren Lücken in Word konnten sich Anwender durch Aktivieren des Safe Mode vor der Infizierung über bösartige Dokumente schützen. Allerdings ist unbekannt, ob dies bei den neuen Lücken auch hilft.

Siehe dazu auch:

    * Word 12122006-djtest.doc, Fehlerbericht von eEye
    * Microsoft rät zur Nutzung von Word im Safe Mode, Meldung auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/82521

[SiLæncer]

Der Exploit für die vergangene Woche gemeldete dritte ungepatchte Sicherheitslücke in Word funktioniert auch unter OpenOffice 2.1. Startet man das präparierte Word-Dokument mit dem OpenOffice-Writer unter Windows XP SP2, so stürzt der Writer ab. Anschließend erscheint der Dialog zur Dokument-Wiederherstellung. Auch unter Linux stürzt die Anwendung mit dem Hinweis ab, der Hauptspeicher sei voll.

Dass sich über die Schwachstelle in OpenOffice auch Code einschleusen lässt, wurde noch nicht demonstriert. Allerdings gibt es bislang unbestätigte Berichte, dass dies möglich sei. Die Word-Lücke hingegen soll in gezielten Attacken schon aktiv ausgenutzt werden, um Systeme zu infizieren. Beim Test erkannte der Kaspersky-Virenscanner den Exploit und löschte die Datei. Allerdings bieten nicht alle Virenscanner Schutz vor derartigen Angriffen, wie ein Scan des seit einer Woche kursierenden Schadcodes auf Virustotal zeigte.



Siehe dazu auch:

    * Dritte Word-Lücke innerhalb von zehn Tagen, Meldung auf heise Securiy
    * Update on Current Word Vulnerability Reports, Meldung des Microsoft SRC

Quelle und Links : http://www.heise.de/security/news/meldung/82727

[SiLæncer]

Ein neuer Trojaner dringt Berichten von Symantec zufolge über eine bislang unbekannte Lücke in Word in Windows-PCs ein. Der Trojan.Mdropper.W genannte Schädlings nutzt wahrscheinlich einen Buffer Overflow in Word, um über präparierte Dokumente Code in den Speicher zu schreiben und zu starten. Symantec gibt allerdings keine Details zu der Lücke an, auch ist nicht beschrieben, welche Word- beziehungsweise Office-Versionen betroffen sind. Neben den drei teilweise seit 6 Wochen bekannten, aber noch nicht gepatchten Lücken in Word wäre dies die vierte Lücke.

US-Medienberichten zufolge ist Microsoft über das Problem informiert und soll auch bereits Berichte über Angriffe auf Anwender erhalten haben. Diese sollen bislang nur in kleiner Zahl stattgefunden haben. Der Trojaner soll auf Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 und Windows XP lauffähig sein.

Unter anderem verbindet sich Mdropper.W mit einem Server, um weitere Befehle entgegenzunehmen. Nebenbei legt er auf der Festplatte die leere Word-Datei "Summary on China's 2006 Defense White paper.doc" an. Symantec stellt Signaturen bereit, mit denen der Scanner den Eindringling erkennen soll.

Da es keinen Patch gibt, sollten Anwender beim Öffnen unverlangt zugesandter Dokumente größte Vorsicht walten lassen und gegebenenfalls beim Absender nachfragen. Der Wechsel auf alternative Produkte wie OpenOffice schafft nicht immer Abhilfe, wie einer der Exploits für Word im Dezember demonstrierte: Er funktionierte auch beim Writer. Ob der Word-Viewer ebenfalls verwundbar ist, ist unbekannt. Derzeit stehen keine öffentlichen Exploits oder Samples des Schädlings zum Testen zur Verfügung. Unter Umständen könnte der Safe-Mode von Word das Risiko eines erfolgreichen Angriffs minimieren.

Siehe dazu auch:

    * Trojan.Mdropper.W, Beschreibung von Symantec

Quelle und Links : http://www.heise.de/security/news/meldung/84311

[SiLæncer]

Kurz nachdem Symantec von einem Trojaner namens Mdropper.W berichtet hatte, der über eine Lücke in Microsoft Word ins System eindringt, bestätigt Microsoft das Sicherheitsproblem. Im Security-Advisory 932114 schränkt Microsoft jedoch ein, dass nur das veraltete Word 2000 für Windows verwundbar sei. Neuere Versionen und Word für Mac OS seien nicht betroffen. Die Attacke sei außerdem recht selten.

Einen Patch oder Workaround gibt es derzeit nicht. Ob er am nächsten Patchday oder außer der Reihe kommt, lässt Redmond noch offen, es heißt jedoch, er sei in Arbeit, sodass die Liste fehlenden Patches für Microsoft-Software nur temporär länger werden sollte.

Außer Symantec und Microsoft im Rahmen von Windows Live OneCare meldet noch keiner der renommierten Hersteller von Antiviren-Software, dass er Signaturen zur Erkennung des Schädlings fertig gestellt habe.

[Update]:
Auch die Scanner von AntiVir, BitDefender, F-Secure, Kaspersky und Trend Micro erkennen mit den neuesten Signaturen das im Umlauf bedindliche Word-Dokument mit dem Exploit.

[2. Update]:
Security-Kreise berichten, dass mindestens eine minimal veränderte Variante des Schädlings-Dokuments im Umlauf ist, die zwar von AntiVir, BitDefender, F-Secure, Kaspersky und Trend Micro erkannt wird, nicht aber von den Scannern von Symantec und OneCare.

Quelle : www.heise.de

[SiLæncer]

Symantec berichtet in seinem Blog von einer fünften ungepatchten Lücke in Word, über die sich mit präparierten Word-Dokumenten Code in ein System schleusen und ausführen lassen soll. Aktuell nutzt laut Symantec der Trojaner Mdropper.X die Lücke bereits im Rahmen gezielter Attacken auf Unternehmen aus. Die Dokumente seien dabei hinsichtlich der Sprache und des Inhalts speziell auf das anzugreifende Unternehmen angepasst.

Microsoft soll die Lücke bereits untersuchen, hat aber noch nicht offiziell bestätigt, dass es sich wirklich um eine neue handelt. Zuletzt hatte Microsoft am Wochenende die vierte Lücke in Word bestätigt und vor Angriffen gewarnt. Sofern man ein infiziertes Dokument öffnet, installiert sich der Trojaner und lädt weitere Programme nach. Sowohl der Dropper also auch die nachgeladenen Dateien werden noch nicht von allen Virenscannern erkannt.

Wie schon bei den vier vorhergehenden Word-Lücken gilt: Da es keinen Patch gibt, sollten Anwender beim Öffnen unverlangt zugesandter Dokumente größte Vorsicht walten lassen und gegebenenfalls beim Absender nachfragen. Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und Tipps, welche Einstellungen vorgenommen werden sollten

Siehe dazu auch:

    * Multiple Organizations Targeted by Zero-Day Exploit, Eintrag im Symantec-Blog von Eric Chien
    * Trojan.Mdropper.X, Beschreibung von Symantec

Quelle und Links : http://www.heise.de/security/news/meldung/84606

[SiLæncer]

Gerade glauben Windows-Nutzer ihr Microsoft Office nach dem Februar-Patchday wieder gesichert zu haben, da tauchen Dokumente auf, die eine bislang unbekannte Sicherheitslücke in der Textverarbeitung zum Einschleusen von Schadcode ausnutzen. Microsoft spricht von sehr gezielten und begrenzten Angriffen, bei denen solch ein manipuliertes Dokument zum Einsatz kam.

Details zu der Sicherheitslücke veröffentlicht Redmond nicht. Das Unternehmen gibt lediglich an, dass durch eine präparierte Zeichenkette in einem Word-Dokument Speicherbereiche überschrieben werden könnten und sich auf diesem Weg Schadcode einschleusen ließe. Microsoft empfiehlt in einer Sicherheitsmeldung, dass Anwender Dokumente aus nicht vertrauenswürdigen Quellen meiden sollten. Somit scheint die Sicherheitslücke auch das Stand-alone-Programm Word-Viewer zu betreffen.

Die Entwickler arbeiten bereits an einem Update, das die Lücke schließen soll. Sicherheitshalber sollten Anwender zumindest bis zur Verfügbarkeit eines Patches vor dem Öffnen von unverlangt zugesandten Word-Dokumenten beispielsweise telefonisch beim Absender nachfragen, ob dieser wirklich der Urheber der Nachricht ist.

Siehe dazu auch:

    * Vulnerability in Microsoft Word Could Allow Remote Code Execution, Sicherheitsmeldung von Microsoft


Quelle und Links : http://www.heise.de/security/news/meldung/85357

[SiLæncer]

Update: Die Sicherheitslücke betrifft Word aus Office 2000 und Office XP; unter Office 2003, 2007 und dem Word-Viewer 2003 kann sie Microsofts Meldung zufolge nicht ausgenutzt werden.

Quelle : www.heise.de

[SiLæncer]

Eine neu entdeckte Schwachstelle in Microsoft Office kann von Angreifern ausgenutzt werden. Sie können den Windows Explorer zum Absturz bringen und so einen Neustart erzwingen, womöglich auch schädlichen Code einschleusen.

Der Windows Explorer kann bestimmte Meta-Informationen aus Office-Dokumenten entnehmen, ohne dass diese dazu mit Microsoft Office geöffnet werden müssen. Durch einen Fehler in der Programmbibliothek "ole32.dll", die der Explorer dazu nutzt, kann es zu Fehlzuordnungen von Speicherbereichen kommen. Der Explorer stürzt dann ab und Windows muss neu gestartet werden.

Der Fehler tritt zum Beispiel bei speziell präparierten Word-Dokumenten auf, warnt das US-CERT . Es sei bislang noch unklar, ob sich die Schwachstelle auch zum Einschleusen und Ausführen von beliebigem Code nutzen lasse. Ein Demo-Exploit (Word-Datei) ist bereits öffentlich verfügbar.

Microsoft ist dabei, den Fehler zu untersuchen. Man habe bislang keine Berichte über Angriffe mit Hilfe dieser Anfälligkeit. Für die Zeit, bis ein Update die Schwachstelle beseitigen kann, empfiehlt das US-CERT, keine Office-Dokumente unklarer Herkunft zu öffnen. Filter, die sich auf Datei-Endungen stützen, helfen nicht weiter. Ein präpariertes Word-Dokument, das korrekte Meta-Informationen enthält, wird auch mit einer beliebigen, untypischen Endung zum Absturz des Explorers führen.

Ein Update oder eine Sicherheitsempfehlung von Microsoft gibt es bislang noch nicht. Die Analyse der Schwachstelle ist noch nicht abgeschlossen. Neben einer weiteren Word-Lücke und einer Schwachstelle in Publisher 2007 wäre dies die dritte, noch nicht geschlossene Sicherheitslücke in Microsoft Office.

Quelle : www.pcwelt.de

[Jürgen]

Sie können den Windows Explorer zum Absturz bringen und so einen Neustart erzwingen, ...

Der Explorer stürzt dann ab und Windows muss neu gestartet werden.

Bei '98SE ist bei 'nem heftigen Explorer-Crash kein Neustart erforderlich, der Explorer startet einfach sich selbst automatisch neu. Ebenso, wenn man händisch den Task abschiesst...

Aber bei Win2kP ist mir sowas auch schon aufgefallen. Explorer abgekackt, nur noch hartes Ausschalten möglich...

Das ist sicher ein ganz doll sicherheitsförderndes Feature, wenn's heutzutage nicht mehr so einfach wie früher geht...