Skip to content

Die nächste 0-Day-Schwachstelle, diesmal in Microsoft Office

Weitgehend unbemerkt wurde am Dienstag von Microsoft eine 0-Day-Schwachstelle in MS Office behoben. Die 13. in diesem Jahr. Viele Informationen gibt es bisher nicht, aber zumindest das wenige habe ich mal zusammen getragen.

Ein "wichtiges" Update für eine 0-Day-Schwachstelle

Auf den ersten Blick wirkt das Security Bulletin MS13-051 relativ harmlos, immerhin ist es nur als "Important", also wichtig, eingestuft. Auch die Beschreibung am Anfang des Bulletins liest sich noch recht ungefährlich:

"This security update resolves one privately reported vulnerability in Microsoft Office. The vulnerability could allow remote code execution if a user opens a specially crafted Office document using an affected version of Microsoft Office software, or previews or opens a specially crafted email message in Outlook while using Microsoft Word as the email reader. ..."

Ein vertraulich gemeldete Schwachstelle, also ist die ja außer Microsoft nur dem Entdecker bekannt, wird also nicht ausgenutzt. Oder? Interessant wird es dann am Ende der FAQ:

"When this security bulletin was issued, had this vulnerability been publicly disclosed?
No. Microsoft received information about this vulnerability through coordinated vulnerability disclosure.

When this security bulletin was issued, had Microsoft received any reports that this vulnerability was being exploited?
Yes. Microsoft is aware of targeted attacks that attempt to exploit this vulnerability."

Die Schwachstelle wird also bereits für gezielte Angriffe ausgenutzt. Mit anderen Worten: Außer von demjenigen, der die Schwachstelle an Microsoft gemeldet hat, wurde sie auch von mindestens einer weiteren Person entdeckt. Und die hat die Schwachstelle nicht an Microsoft gemeldet, sondern entweder selbst für Angriffe ausgenutzt oder auf dem Schwarzmarkt verkauft.

Microsoft bedankt sich bei Andrew Lyons und Neel Mehta von Google für die Meldung der Schwachstelle. Brian Krebs zitiert einen Google-Sprecher mit den Worten

"When Google encounters flaws that exploit users’ computers, even when the flaws are in other companies’ software, we take strong action to mitigate those attacks. Based on the exploit and the way it has been utilized by attackers, we strongly believe the attacks to be associated with a nation-state organization."

Mit anderen Worten: Mal wieder ein 0-Day-Exploit, mal wieder ein Staat als Urheber, vermutlich mal wieder ein Advanced Persistent Threat.

Spurensuche

Dann wollen wir mal nachforschen, was da los ist. Betroffen sind Microsoft Office 2003 Service Pack 3 für Windows und Microsoft Office for Mac 2011 für Mac OS X. Welche Version für Angriffe ausgenutzt wird oder ob evtl. beide betroffen sind, verrät uns Microsoft hier nicht.

Dann sehen wir doch mal nach, was auf MITRE.org über die Schwachstelle mit der ID CVE-2013-1331 bekannt ist. Zumindest zur Zeit leider nicht viel, nur Microsofts Security Bulletin ist verzeichnet. Nicht mal Secunias Advisory ist eingetragen.

Microsofts Security Research & Defense Blog weiß mehr

Ein Eintrag in Microsofts Security Research & Defense Blog liefert einige Hintergrundinformationen. Zum einen wird die Schwachstelle näher beschrieben: Beim Darstellen von PNG-Bildern wird ein Längenfeld nicht korrekt geprüft, was zu einem klassischen Stack-basierten Pufferüberlauf führt.

Auch zum Exploit gibt es ein paar wenige Informationen: Die Angriffe waren sehr gezielt und so ausgerichtet, dass sie möglichst nicht analysiert werden sollten. Bei den beobachteten Angriffen handelt sich um Office-Dateien im Office-2003-Binärformat. Die präparierte PNG-Datei ist nicht direkt eingebettet, sondern wird von einem Server nachgeladen. Der Name der PNG-Datei war in den beobachteten Fällen space.gif. Die Angriffe sollen überwiegend aus Indonesien und Malaysia stammen.

Wo ist der Schädling?

Wenn Microsoft über gezielte Angriffe berichtet und den Schadcode analysiert hat, sollten ja auch die Antivirenhersteller über den Schädling informiert sein. Schließlich tauschen die Antivirenhersteller (zu denen ja auch Microsoft gehört) die neuen Schädlinge untereinander aus. Merkwürdigerweise aber wohl nicht in diesem Fall. Zumindest weisen weder Trend Micro noch Sophos ("No currently known exploits found") in ihren Berichten über Microsofts Patches auf den zugehörigen Schädling hin. Und auch von Intego, die einen Virenscanner für den Mac verkaufen, gibt es keinen Hinweis auf die laufenden Angriffe oder den aktiven Schädling.

Eigentlich lassen die Antivirenhersteller sich ja keine Gelegenheit entgehen, auf die von ihren Produkten erkannten Schädlinge hin zu weisen. Meist in Form von Formulierungen wie "Unser ... erkennt ... seit anno dunnemals". Wenn dieser Hinweis fehlt, kennen die Scanner den Schädling also mit ziemlicher Sicherheit nicht.

Die Antivirenhersteller schlafen mal wieder

Laut Eric Romang ist der Exploit seit Februar "in the wild" aktiv, die gezielten Angriffe richten sich demnach gegen Vietnam und nutzen Gebietsstreitigkeiten zwischen China und Indonesien als Köder. Erstellungsdatum der Office-Datei ist der 25. Februar 2013, und die Word-Datei, die die PNG-Datei nachlädt, wurde auch auf Virustotal eingereicht. Erstmals am 4.3.2013 (siehe "Additional Information"). Bisher wird sie von keinem Virenscanner als schädlich erkannt. Ob die wohl aktiv werden, wenn die PNG-Datei nachgeladen wird? Irgendwie habe ich da gewisse Zweifel.

Nur um das noch mal ganz klar zu sagen: Es laufen seit Februar gezielte Angriffe über eine 0-Day-Schwachstelle. Die genutzte Datei wurde erstmals Anfang März auf Virustotal eingereicht. Virustotal liefert verdächtige Dateien an die beteiligten Antivirenhersteller weiter. Diese Datei aber anscheinend nicht, denn das die 0-Day-Schwachstelle existiert erfährt man so ganz nebenbei in der FAQ zum Patch. Und die Antivirenhersteller wissen immer noch von nichts. Na dann: Gute Morgen!

Wieso ist das Bulletin nicht kritisch?

Diese Schwachstelle scheint doch ziemlich kritisch zu sein. Einen Benutzer zum Öffnen einer Word-Datei zu bewegen ist ja nun wirklich keine Kunst. Und der CVSS-Score zur Einstufung der Gefährlichkeit einer Schwachstelle ist 9.3 (das Maximum ist 10). Wieso stuft Microsoft das Bulletin also nur als "wichtig" ein? Ross Barrett von Rapid7 kommentiert die Schwachstelle folgendermaßen:

"... This issue is seeing limited, targeted exploitation in the wild and the only reason Microsoft hasn’t tagged it as a “Critical” issue is the limited number of affected platforms. ..."

Wenn das stimmt, werden sich vor allem die Mac-Benutzer bedanken, dann für Mac OS X ist das die aktuelle Office-Version. Ich glaube aber nicht, dass Ross Barretts Einschätzung stimmt. Denn eigentlich stuft Microsoft nur die Schwachstellen als kritisch ein, die ohne Benutzeraktion zum Ausführen von Code ausgenutzt werden können. Office-Schwachstellen gehören eigentlich nie dazu, da für deren Ausnutzung im Allgemeinen eine Benutzeraktion (meist das Öffnen einer Datei) nötig ist, wie auch in diesen Fall. Und diese Regel ist ganz unabhängig davon, wie viele Produkte betroffen sind.

Fazit

Auch wenn das Bulletin nur "wichtig" ist, sollten Sie den Patch schnellstmöglich installieren. Erfahrungsgemäß dauert es nicht lange, bis die Cyberkriminellen auf den fahrenden Zug aufspringen und die Schwachstelle ebenfalls ausnutzen. Alternativ könnten Sie als Benutzer eine betroffenen Office-Version als Workaround auf das Öffnen sämtlicher unbekannter Office-Dateien verzichten. Besonders praktisch ist das aber nicht.

Carsten Eilers

Trackbacks

Dipl.-Inform. Carsten Eilers am : Kommentare zur 0-Day-Schwachstelle in MS Office und weiterer Schadsoftware

Vorschau anzeigen
Es gibt eine interessante Neuigkeit zur 0-Day-Schwachstelle in MS Office, außerdem ein paar kommentierte Links zu Schadsoftware. Und dann habe ich noch einen Lesetipp für Sie: Auf Wired hat Moxie Marlinspike erklärt "Why ‘