Windows TIFF-Lücke bereits seit Juli ausgenutzt - Patch Fehlanzeige
Bereits im Sommer wurden E-Mails verschickt, die mit TIFF-Bildern eine kürzlich bekannt gewordene Windows-Lücke ausnutzten. Und während die Zahl dieser Schädlinge weiter wächst, gibt es immer noch keinen Patch vom Microsoft.
(Bild: AV-Test)
Bei einer Analyse der archivierten Schädlingsexemplare fand AV-Test Word-Dateien, die die erst kürzlich öffentlich bekannt gewordene Sicherheitslücke in der Darstellung von TIFF-Dateien unter Windows bereits im Juli ausnutzten. Mittlerweile kommen täglich etwa ein bis zwei neue Schad-Dateien hinzu, erklärt Andreas Marx von AV-Test gegenüber heise Security. Einen Patch von Microsoft gibt es jedoch immer noch nicht.
Anfang November wurde bekannt, dass Angreifer gezielt Mails verschicken, die beim Öffnen des angehängten Word-Dokuments Windows-Systeme mit Spionage-Software infizieren. Nachdem die Versuche, diese Lücke (CVE-2013-3906) auszunutzen, mittlerweile einigermaßen zuverlässig von Antiviren-Software erkannt werden, scannte das Testlabor AV-Test rückwirkend seinen kompletten Schädlingsbestand aus diesem Jahr. Dabei wurden die Scanner jetzt im Nachhinein bei Dateien vom Juli 2013 fündig, die damals noch unbeanstandet durchrutschten. Einige der damals verschickten Mails enthielten weitere Word-Dateien, die Alarm auslösten, weil sie ältere Lücken ausnutzten (CVE-2012-1856, CVE-2012-0158). So waren dann auch die damals noch nicht als schadhaft erkannten TIFF-Exploits im Giftschrank der AV-Tester gelandet.
Die Angriffe erfolgen primär über E-Mails, die in Englisch oder Chinesisch verfasst sind. Es handelt sich laut AV-Test immer noch um recht gezielte Angriffe, die sich vor allem auf Firmen und nicht gegen Privatanwender richten. Es wurden dabei auch schon Exemplare bei deutschen Firmen entdeckt.
Antiviren-Software erkennt den Exploit in Word-Dateien zwar im Allgemeinen, doch rutschen immer wieder einzelne der mittlerweile täglich neu eintreffenden Exemplare bei einzelnen Viren-Wächtern durch, erklärt Marx die Gefahr. Besonders im Firmenumfeld, wo die Wächter oft keine Verhaltensüberwachung aufweisen, können somit noch immer Rechner infiziert werden, wenn ein unvorsichtiger Mitarbeiter die angehängte Office-Datei öffnet. Die bei AV-Software im Privatbereich mittlerweile übliche Verhaltensüberwachung kann zwar als letzte Verteidigungslinie erfolgreiche Exploits stoppen – etwa wenn Word eine EXE-Datei auf die Platte schreiben und starten will. Allerdings produziert sie auch häufiger unnötige oder verwirrende Alarmmeldungen, was für AV-Software im Firmenumfeld wegen der dadurch entstehenden Kosten ein Ausschlusskriterium ist.
Microsofts Workaround schaltet die Anzeige von TIFF-Dateien ganz ab, was in vielen Fällen auch keine Option ist. Richtige Abhilfe schaffte erst ein Patch vom Hersteller – doch der ist nicht in Sicht. Zum bislang letzten Patchday hieß es aus Redmond, Microsoft liefere den immunisierenden Patch "sobald er fertig ist". Mittlerweile sind wieder fast drei Wochen vergangen und die Wahrscheinlichkeit für ein Notfall-Update vor dem nächsten Patchday am 10. Dezember ist gering. (ju)
