Weitere ungepatchte Lücke in MS Access
Ein Keylogger soll die Lücke bereits zum Infizieren von Systemen ausnutzen. Einen Patch wird es wohl nicht geben, da Microsoft die verursachenden MDB-Dateien grundsätzlich als unsicher einstuft, weil sie das Ausführen von Skripten ermöglichen.
- Daniel Bachfeld
Für eine bislang unbekannte Schwachstelle in MS Access soll ein Exploit kursieren. Nach Angaben des Herstellers von Antivirensoftware Panda nutzt bereits ein Keylogger die Lücke aus, um in verwundbare Systeme einzudringen. Ersten Analysen von Panda zufolge beruht das Problem auf einem Fehler in der Access-Jet-Engine, durch den sich Code einschleusen und mit den Rechten des Anwenders ausführen lässt. Für einen erfolgreichen Angriff muss das Opfer aber eine MDB-Datei mit einer verwundbaren Access-Version öffnen.
Ein Update gibt es laut Bericht nicht. Microsoft hat wohl auch nicht vor, den Fehler zu beheben. Panda erhielt als Antwort auf seine Anfrage, dass es sich bei MDB-Dateien grundsätzlich um unsichere Dateien handele, die vom Internet Explorer und Outlook geblockt würden. In einem Knowledgebase-Artikel schreiben die Redmonder dazu: "Beispiele (für unsichere Typen) sind Dateitypen, die die Ausführung eingebetteter Skriptbefehle ermöglichen, wie beispielsweise Microsoft Access-Dateien (*.mdb) oder Makros in Microsoft Word-Dateien (*.doc) bzw. in Microsoft Excel-Dateien (*.xls)."
Weiter heißt es im Artikel: "Microsoft erhält immer wieder Berichte über angebliche Sicherheitsanfälligkeiten aufgrund der Eigenschaft bestimmter unsicherer Dateitypen, bösartige Aktionen ausführen zu können. Diese Berichte werden von Microsoft fallweise ausgewertet. Microsoft kategorisiert jedoch keinen Dateitypen von vornherein als anfällig für Bedrohungen, nur weil eine Person den Dateityp zu bösartigen Zwecken verwendet hat."
Grundsätzlich hat Microsoft damit zwar Recht, allerdings beruht das vorliegende Problem nicht auf der Ausführung von Skripten oder SQL-Befehlen, sondern auf einer Schwachstelle, mit der sich direkt Code ausführen lässt. In Excel und Word würde das Deaktivieren von Makros beispielsweise nur bedingt gegen eine Schwachstelle etwa im Dokumenten-Parser helfen. Bereits im November des vergangenen Jahres wurde eine ähnliche Lücke in Access bekannt, die kurz darauf aktiv ausgenutzt wurde. Ein Patch gibt es bis heute nicht.
Siehe dazu auch:
- New MS Access exploit, Bericht von Panda
- Überblick zum Thema unsichere Dateitypen in Microsoft-Produkten, Knowledgebase-Artikel von Microsoft
(dab)
