Zero-Day-Lücke in Microsoft Office ermöglicht Codeschmuggel
Sicherheitsforscher haben ein Word-Dokument entdeckt, das beim Öffnen Schadcode nachladen und ausführen kann. Aktuelle Software scheint davor zu schützen.
(Bild: Shutterstock / Skorzewiak)
IT-Sicherheitsforscher haben ein Word-Dokument entdeckt, das beim Öffnen Schadcode aus dem Internet nachlädt und ausführt. Und dies, obwohl etwa Makro-Ausführung deaktiviert ist. Noch gibt es kein offizielles Update zum Schließen der Lücke in älteren Office-Versionen, aber insbesondere das Nutzen der aktuellen Microsoft-Office-Version verhindert den gefundenen Exploit offenbar. Zudem müssten Opfer die "geschützte Ansicht" eines manipulierten Dokuments deaktivieren.
Das von nao_sec gefundene Dokument wurde von einer belarussischen IP-Adresse auf Virustotal hochgeladen. Das Dokument nutze die Funktion Remote Template von Word, um eine HTML-Datei aus dem Internet herunterzuladen. Diese wiederum setze auf den ms-msdt:-URI-Handler von Microsoft, um weiteren Code nachzuladen und PowerShell-Code auszuführen, erläutert der IT-Forscher Kevin Beaumont.
Problem URI-Handler
Beaumont erklärt, dass die Angreifer so erweiterte Schutzmaßnahmen von Endpoint Detection and Response (EDR)-Systemen umgehen könnten. In einer Zusammenfassung schreibt er, dass Microsoft Office den Code mittels Diagnose-Tool msdt.exe ausführt. Und zwar selbst dann, wenn die Ausführung von Makros in den Einstellungen deaktiviert wurde. Allerdings springe zunächst die geschützte Ansicht an.
Weiter führt der IT-Sicherheitsforscher aus, dass man mit etwas Nachhilfe die Gefährlichkeit jedoch erhöhen könne: Ändere man das Dokument in das RTF-Format, laufe der Code bereits, ohne dass die Datei vom Benutzer geöffnet würde. Das geschehe in der Vorschau des Windows Explorer. Dort natürlich ohne "geschützte Ansicht".
Betroffene Software-Versionen
Der Exploit funktioniere in mehreren getesteten Konfigurationen. Etwa unter Windows 10, ohne lokaler Administrator zu sein, bei dem die Ausführung von Makros vollständig deaktiviert ist, mit Microsoft Defender und dem Office 365 im Semi-Annual-Channel öffnete ein von Beaumont erstelltes Proof-of-Concept-Dokument ohne Murren den Taschenrechner.
Ebenfalls betroffen waren Office 2013 und 2016. Es könnten noch weitere Versionen verwundbar sein. Ein anderer Twitter-Nutzer konnte die Schwachstelle unter Windows 11 mit den Updates vom Mai-Patchday und Office Pro Plus mit den April-Updates nachvollziehen. Noch ein weiterer Forscher konnte den Fehler auf einem Microsoft Office 2021 mit aktuellem Patch-Stand reproduzieren.
Mit dem Office-Paket aus dem Insider-Channel und aktuellen Versionen sei Beaumont dies hingegen nicht gelungen. Der IT-Forscher vermutet, dass Microsoft entweder etwas im System gehärtet habe oder die Schwachstelle beheben wollte, ohne sie zu dokumentieren. Er schließt nicht aus, den Exploit möglicherweise auch nicht ausreichend für diese Versionen angepasst zu haben.
Keine Panik
Aus der Vergangenheit ist bekannt, dass Cyberkriminelle rasch solche Zero-Day-Lücken in Office missbrauchen, um damit Opfer zu schädigen. Um die Erkennung durch Antivirenlösungen stehe es Beaumont zufolge zudem schlecht. Insbesondere deshalb, da der Schadcode vom Word-Dokument nachgeladen werde und in dem Word-Dokument selber zunächst nichts bösartig sei.
Andererseits sind bislang nur vereinzelte Angriffe in Belarus bekannt, ein Grund zur Panik besteht nicht. Benutzer müssen das Dokument aktiv öffnen, und die "geschützte Ansicht" scheint ebenfalls ihrem Namen gerecht zu werden. Angreifer könnten Opfer jedoch mittels Social Engineering überzeugen, diese zu deaktivieren.
Gegenmaßnahmen
Kevin Beaumont hat in seiner Zusammenfassung für den kostenpflichtigen Defender for Endpoint eine Regel erstellt, die vor solchen bösartigen Dokumenten warnen soll. Diese könnten Administratoren der Lösung importieren und verteilen.
IT-Administratoren sollten die bekannten Sicherheitsmaßnahmen ergreifen und ihre Netzwerke etwas genauer auf unübliche Aktivitäten untersuchen und überwachen. Es empfiehlt sich eine Auffrischung der Mahnung an die Mitarbeiter, dass das Öffnen unverlangt zugesandter Office-Dateien gefährlich ist und daher mit dem Gegenüber zuvor abgeklärt werden sollte.
Zudem sollten die Mitarbeiter den Hinweis erhalten, dass Angreifer mittels Social-Engineering Druck aufbauen könnten, die "geschützte Ansicht" bei einem Dokument zu deaktivieren oder die Ausführung von Makros zu erlauben. Wenn möglich, sollten Administratoren auf die aktuellen Produkte von Microsoft umsteigen, da dort der Zero-Day-Exploit offenbar nicht funktioniert.
Das SANS Institute hat inzwischen ein paar mehr Details zu dem gefundenen Word-Dokument erläutert. Demzufolge diskutieren die IT-Sicherheitsforscher Möglichkeiten, die Gefahr durch die Schwachstelle abzuwenden. Eine Idee ist unter anderem, das ms-msdt-Schema aus der Registry zu löschen. In ersten Versuchen habe dies zum Entschärfen der Sicherheitslücke funktioniert. Allerdings ist unklar, ob dadurch Nebenwirkungen zu erwarten sind.
Diese Schwachstelle ist ein weiterer Fall, der zeigt, dass Microsofts URI-Handler problematisch sein können und eine Angriffsfläche bieten. Bereits vor einem halben Jahr zeigten etwa Forscher von positive.security, wie sie den URI-Handler für ms-officecmd: missbrauchen konnten, um dem alten Internet Explorer beim Ansurfen einer manipulierten Webseite Schadcode unterzuschieben.
Erläuterungen vom SANS Institute im Text ergänzt.
(dmk)
