Skip to content

0-Day-Schwachstelle in Microsoft Graphics betrifft Office und Windows

Geschrieben von Carsten Eilers am um 11:53

Es gibt mal wieder eine 0-Day-Schwachstelle. Sie befindet sich in Microsoft Graphics und betrifft Windows (Vista und Server 2008, Microsoft Office und Lync. Es handelt sich um die 17. 0-Day-Schwachstelle in diesem Jahr. Wie (mit einer Ausnahme) üblich wird die Schwachstelle im Rahmen gezielter Angriffe ausgenutzt. Was ist bisher bekannt?

Microsoft veröffentlicht Security Advisory und Workaround

Microsoft hat am 5.11. ein Security Advisory für die Schwachstelle CVE-2013-3906 und ein FixIt-Tool zum Ausschalten des betroffenen TIFF-Codecs veröffentlicht.

Betroffen sind

  • Windows Vista und Server 2008,
  • Microsoft Office 2003 und 2007 sowie teilweise Office 2010 (dort nur unter Windows XP und Server 2003) sowie
  • alle Versionen von Microsoft Lync.

Die gezielten Angriffe finden vor allem im Mittleren Osten und Südasien statt, den Opfern wird eine präparierte Word-Datei per E-Mail zugeschickt. Beim Öffnen der Datei wird eine Schwachstelle beim Verarbeiten von TIFF-Bildern ausgenutzt. Die Schwachstelle kann aber auch zum Beispiel über eine präparierte Webseite ausgenutzt werden, so dass sie auch für Drive-by-Infektionen genutzt werden kann.

Ein Eintrag in Microsofts Security Research & Defense Blog liefert weitere Informationen: Die beobachteten Angriffe sind "very limited and carefully carried out against selected computers".

Der Exploit umgeht die Schutzmaßnahmen DEP und ASLR, unter anderem kommen ActiveX-Controls für das Heap-Spraying und hardcodiertes Return Oriented Programming zum Einsatz. Der Exploit schlägt also zum Beispiel fehl, wenn ActiveX-Controls in Office-Dokumenten nicht ausgeführt werden (zum Beispiel im Protected View Modus von Office 2010) oder die für ROP genutzten Module in anderen als den erwarteten Versionen vorliegen.

McAfee hat den Exploit entdeckt

Diesmal ist ausnahmsweise mal bekannt, wer den Exploit entdeckt hat: McAfee, und dort hat man einen eigenen Text veröffentlicht. Der Exploit lädt ein ausführbares Programm nach, über dass dann eine Hintertür installiert wird.

Besonders bemerkenswert: Der Einsatz von ActiveX-Controls in Office-Dokumenten zum Heap-Spraying ist laut McAfee bisher nicht vorgekommen, da hat also jemand eine neue Angriffstechnik umgesetzt.

Wem gelten die Angriffe?

Wer/was da gezielt angegriffen wird, wird leider nicht verraten. Vermutlich steckt wieder mal ein Staat hinter den Angriffen. Cyberkriminellen setzen eher selten 0-Day-Exploits als erstes ein, die sind eher dafür bekannt, die gezielt eingesetzten Exploits nach ihrem Bekanntwerden zügig anzupassen und in die Exploit-Kits zu integrieren. Welcher Staat könnte im Mittleren Osten und Südasien spionieren wollen? Spontan fallen mir da drei Verdächtige ein: Die USA/NSA (die ja wohl überall ihre Finger drin hat), Israel, und dann die "üblichen Verdächtigen" aus China. Mal sehen, ob noch mehr bekannt wird.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2013 im Überblick

Vorschau anzeigen
Hier finden Sie eine Übersicht über die 2013 eingesetzten 0-Day-Exploits: Nummer Veröffentlicht Gepatcht Programm(Link zum Blog-Artikel) CVE-ID

Dipl.-Inform. Carsten Eilers am : Microsoft Graphics: Eine 0-Day-Schwachstelle, mindestens zwei Angriffe

Vorschau anzeigen
Es gibt weitere Informationen zur 0-Day-Schwachstelle in Microsoft Graphics, die über präparierte Word-Dateien ausgenutzt wird. Und die sind sehr interessant, denn es könnte sich ein neuer Trend für 0-Day-Angriffe herauskristal

Dipl.-Inform. Carsten Eilers am : Der "Standpunkt" erscheint erst morgen...

Vorschau anzeigen
... wenn Microsoft den angekündigten Patch für die 0-Day-Schwachstelle in MS Graphics veröffentlicht hat. Wobei "morgen" relativ ist, da der Patch ja erst Abends veröffentlicht wird. Der "Standpunkt" erscheint also de facto e