Zero-Day-Lücke in Windows

In fast allen Windows-Versionen klafft eine kritische Lücke, die bereits von Cyber-Angreifern ausgenutzt wird. Wer sich schützen will, muss derzeit selbst aktiv werden.

In Pocket speichern vorlesen Druckansicht 370 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

In der OLE-Schnittstelle von Windows klafft eine kritische Sicherheitslücke, die bereits aktiv für Cyber-Attacken missbraucht wird. Laut Microsoft verbreiten die Angreifer speziell präparierte PowerPoint-Dateien mit eingebetteten OLE-Objekten, um die Schwachstelle auszunutzen und Schadcode zur Ausführung zu bringen. Dies funktioniert auch mit anderen Office-Formaten. Unter Umständen soll man sich schon infizieren können, indem man eine Webseite öffnet, auf der ein verseuchtes Office-Dokument lauert. Der Angriff soll unter allen derzeit unterstützten Windows-Versionen bis auf Windows Server 2003 funktionieren.

Wer sein System schützen will, muss derzeit selbst aktiv werden. Microsoft beschreibt eine Reihe von Schutzmaßnahmen, welche die Angriffe abwehren sollen. So soll man etwa sicherstellen, dass die Benutzerkontensteuerung (User Account Control, UAC) aktiv ist. Im Falle eines Angriffs meldet sich diese mit einem Dialog zu Wort. Sofern man diesen nicht bestätigt, soll der Code auch nicht ausgeführt werden.

Zudem gibt es ein FixIt-Tool, das die Lücke bis zum Erscheinen eines Patches provisorisch abdichten soll. Wer das kostenlose Härtungs-Tool EMET nutzt, für den bietet Microsoft eine passende Konfigurationsdatei an, die das Ausnutzen der Lücke ebenfalls verhindern soll.

Update vom 22.10.2014, 16:45: Die Lücke klafft offenbar nicht in Office selbst, sondern in der OLE-Schnittstelle von Windows. Zum Ausnutzen der Lücke setzen die Angreifer Office-Dokumente mit einbetteten OLE-Objekten ein. Der Artikel wurde entsprechend korrigiert.

Weitere Details zu der Schwachstelle hat die Sicherheitsfirma McAfee veröffentlicht. Demnach handelt es sich um eine Variante einer Lücke, die Microsoft an seinem Oktober-Patchday geschlossen hatte. McAfee hat herausgefunden, dass der Patch die Lücke nicht vollständig abdeckt und konnte dies gegenüber Microsoft auch mit einem Proof-of-Concept (PoC) belegen. Um Windows-Nutzer nicht unnötig in Gefahr zu bringen, hält auch McAfee die Details vorerst unter Verschluss.

Das Unternehmen empfiehlt, zusätzlich zu einem der oben beschriebenen Workarounds auch die ersten beiden Workarounds anzuwenden, die Microsoft an seinem Oktober-Patchday veröffentlicht hat. Der erste schaltet den WebClient-Dienst ab, der zweite rät, die TCP-Ports 139 und 445 über eine Firewall zu blockieren. (rei)