Angriffe auf Zero-Day-Lücke in Windows und Office

Cyber-Angreifer attackieren bestimmte Versionen von Windows, Microsoft Office und Lync durch eine Zero-Day-Lücke in einer gemeinsam genutzten Grafikbibliothek. Wie Microsofts Sicherheitsteam in seinem Blog berichtet, gelingt es den Angreifern, über speziell präparierte TIFF-Grafiken Code in die Rechner ihrer Opfer einzuschleusen.

Die Lücke betrifft nach derzeitigem Kenntnisstand Windows Vista und Server 2008 sowie Office 2003, 2007 und 2010. Ferner ist Lync 2010 und 2013 anfällig. Wer eines oder mehrere der verwundbaren Produkte installiert hat, sollte umgehend das von Microsoft bereitgestellte Fix-it-Tool anwenden, das die Lücke provisorisch abdichtet, indem es die Darstellung von TIFF-Dateien verhindert. Alternativ kann man sein System durch das Verschärfen der Office-Sicherheitseinstellungen und das Härtungstool EMET absichern. Die Details beschreibt Microsoft im Advisory zu dem Leck. Das Unternehmen hat sich bislang noch nicht dazu geäußert, wann Patches erscheinen, welche die Sicherheitslücke behandeln. Der nächste Patchday findet kommenden Dienstag statt.

Derzeit wird die Lücke laut Microsoft für gezielte Cyber-Attacken im Nahen Osten und Südasien missbraucht. Die Sicherheitsexperten von Alien Vault haben Angriffe beobachtet, die gegen den pakistanischen Geheimdienst und das dortige Militär gerichtet sind. Die Angreifer betten die speziell präparierten TIFF-Dateien in Word-Dateien ein. Der kursierende Exploit nutzt ActiveX-Controls, um eigenen Code mittels Heap Spraying im Speicher zu platzieren. Anschließend baut er aus bereits vorhandenen Code-Fragmenten via ROP die notwendigen Befehle zusammen, um diesen Speicherbereich als ausführbar zu markieren und springt ihn an. (rei)