Skip to content

Kommentare zur 0-Day-Schwachstelle in MS Office und weiterer Schadsoftware

Es gibt eine interessante Neuigkeit zur 0-Day-Schwachstelle in MS Office, außerdem ein paar kommentierte Links zu Schadsoftware. Und dann habe ich noch einen Lesetipp für Sie: Auf Wired hat Moxie Marlinspike erklärt "Why ‘I Have Nothing to Hide’ Is the Wrong Way to Think About Surveillance". Das sollten Sie unbedingt lesen! Auch und gerade wenn Sie denken, Sie haben nichts zu verbergen!

0-Day-Schwachstelle seit 2009 ausgenutzt?

Eric Romang hat zusammengefasst, was über die 0-Day-Schwachstelle in MS Office bekannt ist. Das meiste davon steht auch schon in meinem Artikel vom 13.6., es gibt aber eine neue Entdeckung: Bei weiteren Untersuchungen hat Eric Romang eine Word-Datei entdeckt, die am 28. Oktober 2009 auf VirusTotal hochgeladen wurde und deren Erstellungsdatum der 26. Oktober 2009 ist. Inzwischen wird in dieser Datei der Exploit für die aktuelle 0-Day-Schwachstelle entdeckt. Eric Romang schließt daraus, dass die Schwachstelle bereits seit Oktober 2009 ausgenutzt wird. Eine 0-Day-Schwachstelle, die 3 1/2 Jahre unentdeckt ausgenutzt wird - das ist doch ziemlich beängstigend, oder?

Die Schwachstelle befindet sich in Microsoft Office 2003 Service Pack 3 für Windows. Es ist also durchaus möglich, dass sie von Anfang an vorhanden war. Wie sie dann in Microsoft Office for Mac 2011 für Mac OS X gelangt ist, möchte ich eigentlich gar nicht wissen. Denn das sollte ja nach dem SDL entwickelt und daher kein alter Code ungeprüft übernommen worden sein.

Es gibt noch eine andere mögliche Erklärung für das Auftauchen des Exploits in der Word-Datei von 2009: Der Exploit ist ja nicht in der Word-Datei selbst enthalten, sondern wird über HTTP nachgeladen. Und das bedeutet, er kann jederzeit ausgetauscht werden. Es ist also auch möglich, dass die Word-Datei 2009 einen ganz anderen Exploit geladen hat als sie es nun tut. Wie wahrscheinlich das ist wage ich nicht mal zu raten.

Antivirenhersteller rat- oder sprachlos?

Bei den Antivirenherstellern herrscht immer noch weitgehend das Schweigen im Walde, wenn es um die 0-Day-Schwachstelle gibt. Lediglich Symantec hat einen Blogartikel veröffentlicht, aber der ist mit Vorsicht zu genießen. Denn darin steht

"Last Tuesday, June 11, 2013, Microsoft released a security bulletin (MS13-051) which covers a number of vulnerabilities. One of the vulnerabilities..."
(Hervorhebung von mir)

Anscheinend hat man bei Symantec das Bulletin MS13-051 nicht richtig gelesen, denn das betrifft nur genau eine Schwachstelle, eben die 0-Day-Schwachstelle:

"This security update resolves one privately reported vulnerability in Microsoft Office."
(Hervorhebung von mir)

Außerdem gibt Symantec bekannt, dass der Exploit als Trojan.Mdropper erkannt wird. In der zugehörigen Beschreibung steht:

"Trojan.Mdropper is a detection name used by Symantec to identify malicious software programs that exploit Microsoft Word or Excel vulnerabilities to drop other malware on to the compromised computer."

Mit anderen Worten: Die Signatur für den aktuellen Schadcode wurde in der passenden Schublade einsortiert. Schublade zu, fertig? Warten wir es ab (was anderes bleibt uns ja sowieso nicht). Ich finde es allerdings bemerkenswert, dass die Antivirenhersteller zu diesem 0-Day-Exploit so schweigsam sind. Ist denen etwa peinlich, dass sie den Schädling womöglich sein Oktober 2009 übersehen haben? Diesmal zieht die Ausrede "Der ist so gross, wer rechnet denn damit, dass das ein Schädling ist?" jedenfalls nicht.

AutoRun-Würmer in JavaScript und Java

Konstantin Markov von Kaspersky berichtet über zwei neue AutoRun-Würmer: Worm.JS.AutoRun und Worm.Java.AutoRun. Beide sind stark getarnt, installieren eine Backdoor - und verbreiten sich, indem sie sich selbst und ihre Konfigurationsdatei autorun.inf in die Root-Verzeichnisse von logischen Laufwerken, Wechselmedien und Netzwerklaufwerken kopieren. Um nicht zu schnell entdeckt zu werden, ändern die Würmer ihren Code während der Verbreitung. Was ihnen nun einen Artikel auf Kasperskys Website Securelist eingebracht hat. Klarer Fall von "Dumm gelaufen".

Um AutoRun-Würmern zu stoppen, sollte die AutoRun-Funktions auf alten Windows-Versionen ausgeschaltet werden. Ab Windows 7 dürfen sowieso nur noch Programme von CD/DVD-Laufwerken automatisch starten, auf anderen Wechselmedien wie zum Beispiel USB-Sticks wird die Funktion ausgeschaltet. Was sich durch spezielle Hardware aber umgehen lässt, zum Beispiel indem ein präparierter USB-Stick sich als CD-Laufwerk mit eingelegter CD ausgibt.

Mal wieder signierte Schadsoftware

Würden Sie das Programm Word13.exe starten, wenn es eine gültige Signatur von Adobe aufweist? Hoffentlich nicht, denn diese Signatur ist gefälscht, wie Symantec berichtet. Das Programm trägt zwar eine Signatur, die angeblich von "Adobe Systems Incorporated" statt, das zugehörige Root-Zertifikat wurde aber angeblich von "Adobe Systems Incorporated" ausgestellt und wird als nicht vertrauenswürdig eingestuft. Und das ist auch völlig korrekt, denn Adobes richtiges Zertifikat wurde von VeriSign ausgestellt. Wird das Programm ausgeführt, installiert es eine Backdoor. Sie sehen also wieder einmal ein Beispiel dafür, wie wichtig es ist, Zertifikate aufmerksam zu prüfen.

37 neue gute Gründe gegen das Java-Plugin im Webbrowser

Noch kurz zwei Hinweise zu Java: Oracles nächster Patchday für Java findet am 18. Juni statt. Behoben werde dann 40 Schwachstellen, von denen 37 die Ausführung beliebigen Codes aus der Ferne erlauben. Das sind 37 Möglichkeiten für Drive-by-Infektionen und 37 weitere gute Gründe, Java im Browser aus zu schalten, wenn Sie es nicht zwingend benötigen. Für Windows-Benutzer gibt es seit dem 29. Mai eine weitere Möglichkeit, Java im Internet Explorer aus zu schalten: Ein FixIt-Tool.

Ach ja: Ob bei den 37 Java-Schwachstellen mit Remote Code Execution wohl wieder eine 0-Day-Schwachstelle dabei ist?

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Statt Kommentaren Lesetipps zum Wochenanfang

Vorschau anzeigen
Es gibt eigentlich nichts, was sich diese Woche zu kommentieren lohnt, also gibt es von mir diese Woche nur ein paar Lesetipps: Android-App gegen Windows Es gibt eine Android-App, die beim Anschluss des Geräts an einen Windows-Rechn