0-Day-Schwachstelle in Microsoft Graphics betrifft Office und Windows
Es gibt mal wieder eine 0-Day-Schwachstelle. Sie befindet sich in Microsoft Graphics und betrifft Windows (Vista und Server 2008, Microsoft Office und Lync. Es handelt sich um die 17. 0-Day-Schwachstelle in diesem Jahr. Wie (mit einer Ausnahme) üblich wird die Schwachstelle im Rahmen gezielter Angriffe ausgenutzt. Was ist bisher bekannt?
Microsoft veröffentlicht Security Advisory und Workaround
Microsoft hat am 5.11. ein Security Advisory für die Schwachstelle CVE-2013-3906 und ein FixIt-Tool zum Ausschalten des betroffenen TIFF-Codecs veröffentlicht.
Betroffen sind
- Windows Vista und Server 2008,
- Microsoft Office 2003 und 2007 sowie teilweise Office 2010 (dort nur unter Windows XP und Server 2003) sowie
- alle Versionen von Microsoft Lync.
Die gezielten Angriffe finden vor allem im Mittleren Osten und Südasien statt, den Opfern wird eine präparierte Word-Datei per E-Mail zugeschickt. Beim Öffnen der Datei wird eine Schwachstelle beim Verarbeiten von TIFF-Bildern ausgenutzt. Die Schwachstelle kann aber auch zum Beispiel über eine präparierte Webseite ausgenutzt werden, so dass sie auch für Drive-by-Infektionen genutzt werden kann.
Ein Eintrag in Microsofts Security Research & Defense Blog liefert weitere Informationen: Die beobachteten Angriffe sind "very limited and carefully carried out against selected computers".
Der Exploit umgeht die Schutzmaßnahmen DEP und ASLR, unter anderem kommen ActiveX-Controls für das Heap-Spraying und hardcodiertes Return Oriented Programming zum Einsatz. Der Exploit schlägt also zum Beispiel fehl, wenn ActiveX-Controls in Office-Dokumenten nicht ausgeführt werden (zum Beispiel im Protected View Modus von Office 2010) oder die für ROP genutzten Module in anderen als den erwarteten Versionen vorliegen.
McAfee hat den Exploit entdeckt
Diesmal ist ausnahmsweise mal bekannt, wer den Exploit entdeckt hat: McAfee, und dort hat man einen eigenen Text veröffentlicht. Der Exploit lädt ein ausführbares Programm nach, über dass dann eine Hintertür installiert wird.
Besonders bemerkenswert: Der Einsatz von ActiveX-Controls in Office-Dokumenten zum Heap-Spraying ist laut McAfee bisher nicht vorgekommen, da hat also jemand eine neue Angriffstechnik umgesetzt.
Wem gelten die Angriffe?
Wer/was da gezielt angegriffen wird, wird leider nicht verraten. Vermutlich steckt wieder mal ein Staat hinter den Angriffen. Cyberkriminellen setzen eher selten 0-Day-Exploits als erstes ein, die sind eher dafür bekannt, die gezielt eingesetzten Exploits nach ihrem Bekanntwerden zügig anzupassen und in die Exploit-Kits zu integrieren. Welcher Staat könnte im Mittleren Osten und Südasien spionieren wollen? Spontan fallen mir da drei Verdächtige ein: Die USA/NSA (die ja wohl überall ihre Finger drin hat), Israel, und dann die "üblichen Verdächtigen" aus China. Mal sehen, ob noch mehr bekannt wird.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2013 im Überblick
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Microsoft Graphics: Eine 0-Day-Schwachstelle, mindestens zwei Angriffe
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu neuen Angriffen über die 0-Day-Schwachstelle in MS Graphics und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Der "Standpunkt" erscheint erst morgen...
Vorschau anzeigen