Kritische Word-Lücke: Proof-of-Concept-Code veröffentlicht
Der Entdecker einer kritischen Lücke bei der Anzeige von RTF-Dokumenten hat mit seiner Sicherheitsmeldung auch Proof-of-Concept-Code veröffentlicht.
(Bild: heise online)
Das Öffnen manipulierter Rich-Text-Format-Dokumente (.rtf) könnte eine kritische Sicherheitslücke in Microsoft Word auslösen. Angreifer könnten dadurch beliebigen Code mit den Rechten des Opfers einschleusen. Etwa mit sorgsam präparierten .rtf-Dateien als E-Mail-Anhang könnten bösartige Akteure einen Angriff ausführen. Der Entdecker der Schwachstelle hat jetzt eine Sicherheitsmeldung veröffentlicht, die Beispiel-Code enthält, die das Ausnutzen der Lücke demonstriert. Microsoft hat im Februar Updates bereitgestellt, die den Fehler beseitigen.
Kritische Word-Schwachstelle
In der Schwachstellen-Beschreibung von Microsoft finden sich noch keine Hinweise auf den Proof-of-Concept-Code (PoC). Auch Details zur Schwachstelle erläutert der Hersteller darin nicht. Die Beschreibung lautet lediglich "Microsoft Word Remote Code Execution Vulnerability" (CVE-2023-21716, CVSS 9.8, Risiko "kritisch"). Bereits die Ansicht im Vorschau-Bereich reiche aus, den Fehler auszulösen.
Der Entdecker der Lücke, Joshua J. Drake mit dem Twitter-Handle jduck, ist in seiner jetzt veröffentlichten Schwachstellenbeschreibung hingegen auskunftsfreudiger. Die Lücke befindet sich demnach in der wwlib-Bibliothek aus Microsofts Office. Auf die greift das Standardprogramm zum Öffnen von .rtf-Dateien, Microsoft Word, beim Verarbeiten der Dokumente zu.
Im RTF-Parser von Word kann eine Verwürfelung auf dem Heap-Speicher auftreten, wenn im Dokument eine Zeichensatztabelle (font table) mit einer exzessiven Anzahl an Zeichensätzen enthalten ist. Drake erläutert, wie bei der Verarbeitung dieser Zeichensatztabelle schließlich auf den Heap der Anwendung geschrieben werden kann. Mit sorgsamer Vorbereitung könnten Angreifer so Code einschleusen und zur Ausführung bringen.
Proof-of-Concept der Office-Schwachstelle
Betroffen sind alle Microsoft Office-Versionen seit mindestens Office 2007. Ein Python-Script in Drakes Meldung führt die Schwachstelle vor, indem es ein RTF-Dokument mit einer zu großen Zeichensatztabelle erzeugt, das verwundbare Word-Versionen zum Absturz bringen sollte. Eine konkrete Payload enthält der PoC-Code nicht. Das Skript zeigt, wie trivial sich ein solches Dokument erzeugen lässt. Cyberkriminelle können die Lücke jedoch nicht umgehend missbrauchen, sondern müssten noch ihren Schadcode passend aufbereiten und ergänzen.
Microsoft hatte zum Februar-Patchday die Schwachstelle geschlossen. In der Schwachstellen-Beschreibung von Microsoft erläutert der Hersteller zudem, welche temporären Gegenmaßnahmen das Ausnutzen der Lücke erschweren können. So sollte Outlook so umkonfiguriert werden, Mails ausschließlich im Nur-Text-Format anzuzeigen. Diese enthalten dann jedoch keinerlei Formatierungen, Bilder oder Animationen mehr. Zudem sollten IT-Verantwortliche die Microsoft Office File-Block-Richtlinie nutzen, um das Öffnen von RTF-Dokumenten aus unbekannten oder nicht vertrauenswürdigen Quellen zu unterbinden. Microsoft stellt in der Meldung Registry-Einträge vor, die das konfigurieren.
Durch den jetzt verfügbaren Proof-of-Concept-Code steigt die Wahrscheinlichkeit, dass Cyberkriminelle den Angriff in ihren "Werkzeugkasten" aufnehmen. Auch sind Angriffswellen mit manipulierten E-Mail-Dateianhängen denkbar. Die Sicherheitslücke kann den Angreifern etwa zum Spear-Phishing dienen, bei dem sie gezielt Mitarbeiter von Unternehmen angehen und versuchen, auf ihren Rechnern einzubrechen oder sensible Informationen von ihnen zu erlangen. IT-Verantwortliche sollten die Office-Installationen in ihrem Zuständigkeitsbereich daher zügig auf den aktuellen Stand bringen.
(dmk)
