Angreifer nutzen Lücke in Microsoft Access 2003
Das US-CERT warnt vor Angriffen auf Windows-PCs mittels präparierter Microsoft-Access-Datenbank-Dateien. Wahrscheinlich nutzen die Angreifer eine bislang ungepatchte Schwachstelle.
Das US-CERT [1] warnt vor Angriffen auf Windows-PCs mittels präparierter Microsoft-Access-Datenbank-Dateien (*.MDB). Unter Umständen nutzen die Angreifer eine bislang ungepatchte Schwachstelle in der Jet Engine von Microsoft Office Access 2003 aus. Beim Parsen manipulierter MDB-Dateien tritt ein Buffer Overflow auf, durch den es möglich ist, Code auf den Stack der Anwendung zu schreiben und zu starten. Ein Exploit ist seit der Veröffentlichung der Lücke [2] vor rund einem Monat verfügbar.
Was bei den aktuellen Angriffen geschieht und auf wen sie gerichtet sind, schreibt das US-CERT nicht. Allerdings wurden Lücken in Office-Produkten in der Vergangenheit meist für zielgerichtete Attacken [3] auf Personen aus Wirtschaft, Politik und Industrie verwendet. Der Vorfall bestätigt die Erkenntnisse etwa des SANS-Institutes und von Microsoft, dass Angriffe mittlerweile in der Mehrzahl auf verwundbare Anwendungen stattfinden [4].
Microsoft hat den Fehler bislang weder gepatcht noch offiziell bestätigt. Allerdings schreibt das US-CERT, dass es für eine Infektion durch bösartige MDB-Dateien nicht unbedingt notwendig sei, eine Schwachstelle in Access auszunutzen. Vielmehr sei der Umgang mit derartigen Dateien ohnehin mit einem hohen Risiko verbunden, weshalb sie beispielsweise bereits auf dem Mail-Gateway geblockt werden sollten. Ein Liste aller Dateitypen mit hohem Risiko hat Microsoft in einem Knowlegde-Base-Artikel veröffentlicht [5]. Diese Dateien werden etwa standardmäßig in Microsofts E-Mail-Clients Outlook und Outlook Express blockiert.
Siehe dazu auch:
- Microsoft Jet Engine MDB File Parsing Stack Overflow Vulnerability [6], Fehlerbericht von Frank Ruder
- Active Exploitation Using Malicious Microsoft Access Databases [7], Warnung des US-CERT
(dab [8])
URL dieses Artikels:
https://www.heise.de/-170004
Links in diesem Artikel:
[1] http://www.us-cert.gov/
[2] http://ruder.cdut.net/blogview.asp?logID=227
[3] https://www.heise.de/news/Gezielte-Trojaner-Angriffe-auf-PCs-von-Fuehrungskraeften-146701.html
[4] https://www.heise.de/news/Blue-Hat-Konferenz-Windows-dicht-Anwendungen-gefaehrlich-167636.html
[5] http://support.microsoft.com/kb/883260
[6] http://lists.grok.org.uk/pipermail/full-disclosure/2007-November/058531.html
[7] http://www.us-cert.gov/current/#microsoft_access_database_file_attachment
[8] mailto:dab@ct.de
Copyright © 2007 Heise Medien