Dipl.-Inform. Carsten Eilers

Microsoft hat am 24.3. ein Security Advisory zu einer neuen 0-Day-Schwachstelle mit der CVE-ID CVE-2014-1761 in Microsoft Word veröffentlicht. Werden präparierte RTF-Dateien mit Word oder Outlook geöffnet oder die Vorschau von Outlook genutzt, kann darüber Code eingeschleust und ausgeführt werden.

Betroffen sind

• Microsoft Word 2003 SP3,
• Microsoft Word 2007 SP3,
• Microsoft Word 2010 SP1 und SP2 in der 32- und 64-Bit-Version,
• Microsoft Word 2013 in der 32- und 64-Bit-Version,
• Microsoft Word 2013 RT,
• Microsoft Word Viewer,
• Microsoft Office Compatibility Pack SP3,
• Word Automation Services on Microsoft SharePoint Server 2010 SP1 und SP2,
• Word Automation Services on Microsoft SharePoint Server 2013,
• Microsoft Office Web Apps 2010 SP1 und SP2,
• Microsoft Office Web Apps Server 2013 sowie
• Microsoft Office for Mac 2011

Die Schwachstelle kann auch über Microsoft Outlook 2007, 2010 und 2013 ausgenutzt werden, die Word per Default als E-Mail-Reader verwenden. Laut einem Eintrag im Security Research & Defense Blog von Microsoft ist die Ausnutzung der Schwachstelle über die Vorschau allerdings aufgrund deren eingeschränkten Funktionsumfangs ziemlich schwierig, bisher wurde noch kein entsprechender Exploit entdeckt.

Aktiv ausgenutzt wird die Schwachstelle bisher nur in gezielten Angriffen auf Word 2010.

Drive-by-Infektionen - Microsoft lernt es wohl nie?

Microsoft weist im Security Advisory auch darauf hin, dass die Schwachstelle über präparierte Webseiten ausgenutzt werden kann. Und macht immer noch den Fehler, anzunehmen, dafür müssten die Opfer gezielt auf diese Seiten gelockt werden:

"In all cases, however, an attacker would have no way to force users to visit these websites. Instead, an attacker would have to convince users to visit the website, typically by getting them to click a link in an email message or Instant Messenger message that takes users to the attacker's website."

Der erste Satz ist korrekt, niemand kann einen Benutzer zwingen, so eine Seite aufzusuchen. Der zweite Satz ist aber völliger Blödsinn, denn die Benutzer können diese Seiten auch beim normalen Surfen erreichen. Vielleicht sollte mal irgend jemand Microsoft die Funktion von Wasserloch-Angriffen erklären, und was es mit präparierten Werbeanzeigen auf sich hat? Davon scheint man in Redmond noch nichts gehört zu haben. Und ein kleiner Rant: Was es mit dem Y2K auf sich hat weiß man da vielleicht auch noch nicht? Irgendwie scheinen die nämlich im vergangenen Jahrtausend fest zu stecken.

Workarounds...

... für Word

Microsoft hat ein FixIt-Tool bereitgestellt, über das das Öffnen von RTF-Dokumenten in Word ausgeschaltet werden kann. Alternativ kann für Word 2003 auch die Microsoft Office File Block Policy verwendet werden, um das Öffnen von RTF-Dokumenten zu verhindern.

Dadurch kann die Schwachstelle nicht mehr ausgenutzt werden. Der Nachteil: Sie können generell keine RTF-Dokumente mehr öffnen, der Workaround ist also nur brauchbar, wenn Sie keine entsprechenden Dateien verwenden.

... für Outlook

E-Mails sollten nur als Plaintext geöffnet werden (Anleitung für Office 2003, 2007 und 2010 und 2013). Das ist generell empfehlenswert, da der HTML-Teil der E-Mail zum einen den Absender über das Öffnen der E-Mail informieren kann und zum anderen bereits Drive-by-Infektionen über präparierte HTML-E-Mails gemeldet wurden. Und das auch Microsofts Eigenbräu Marke "Rich Text Format" für Mails gefährlich ist zeigt das aktuelle Beispiel ja am besten.
Alternativ kann auch die Microsoft Office File Block Policy verwendet werden, um das Öffnen von RTF-Dokumenten zu verhindern.

... allgemein

Der aktuelle Exploit wird auch vom Enhanced Mitigation Experience Toolkit (EMET) gestoppt. Im Gegensatz zur IE-Schwachstelle aus dem Februar reicht hier aber nicht das Vorhandensein des EMET aus, es muss auch entsprechend konfiguriert werden (siehe das Security Advisory).

Was ist über die Schwachstelle und den Angriff bekannt?

Microsoft sind bisher wenige, gezielte Angriffe auf Word 2010 bekannt ("limited, targeted attacks").

Gemeldet wurde die Schwachstelle von Drew Hintz, Shane Huntley und Matty Pellegrino vom Google Security Team. Ob Google Ziel der Angriffe war oder Googles Sicherheitsteam anderweitig (und wo?) auf den Exploit gestoßen ist lässt sich daraus leider nicht ableiten.

Laut einem Eintrag im Security Research & Defense Blog von Microsoft ist der Exploit recht aufwendig. Die Schwachstelle wird über eine präparierte RTF-Datei ausgenutzt, die eine weitere Komponente enthält, über die die ASLR umgangen wird. Außerdem werden Return-Oriented-Programming-Techniken genutzt, um über native RTF-Kodierschemata ROP-Gadgets zu erstellen. Über die ROP-Kette wird dann der Shellcode geladen und ausgeführt. Der prüft unter anderem, ob auf dem System nach dem 8. April 2014 Updates installiert wurden. Ist das der Fall, bricht der Exploit ab. Andernfalls wird eine Hintertür installiert.

Bei den Antivirenherstellern gibt es bisher wenige Reaktionen auf die Schwachstelle. Symantec hat zwar einen Blogeintrag veröffentlicht, verweist aber bisher nur auf die von Microsoft gemeldeten Angriffe. Selbst hat man den Exploit also noch nicht entdeckt. Und auch bei Sophos gibt es zwar einen Blogeintrag, aber keine eigenen Erfahrung. Statt dessen verweist man auf die Geschichte der Word-Exploits. Informativ, in der aktuellen Situation aber nicht besonders hilfreich.

Auf was warten die Angreifer?

Auffällig finde ich die Prüfung auf Updates, die nach dem 8. April installiert wurden. Am 8. April ist Microsofts nächster regulärer Patchday. Man erwartet also einen Patch und möchte dem mit den nachgeladenen Schadcode nicht über den Weg laufen. Auf was die Angreifer wohl warten?

Auf einen Patch für diese Schwachstelle bestimmt nicht, denn dann würde der Shellcode und damit die Prüfung auf die Updates gar nicht erst ausgeführt. Wird vom nachgeladenen Code also noch eine andere, bisher nicht bekannte Schwachstelle ausgenutzt? Und das evtl. nur auf ganz bestimmten Systemen, so dass der Exploit bisher nicht entdeckt wurde? Für mich sieht das ganz so aus, daher wage ich mal die Prognose, dass demnächst eine weitere 0-Day-Schwachstelle gemeldet wird, die mit diesem Angriff zusammen hängt.

Was ist zu tun?

Word-Nutzer unter Windows sollten das FixIt-Tool verwenden und zusätzlich das EMET installieren und konfigurieren. Und zwar, bevor die Cyberkriminellen an den Exploit gelangen und ihn in die Exploit-Kits integrieren.

Word-Nutzer unter Mac OS X sind ebenfalls von der Schwachstelle betroffen. Hier gibt es keinen Workaround von Microsoft, zum Glück aber auch noch keine Angriffe. Aber das kann sich schnell ändern. Öffnen Sie also sicherheitshalber keine RTF-Dateien, sofern die nicht aus einer absolut zuverlässigen Quelle stammen. Und hoffen Sie, dass Dateien aus solchen Quellen nicht doch kompromittiert wurden, falls Sie sie öffnen müssen. Alternativ können Sie die Dateien auch mit TextEdit öffnen, da das die Schwachstelle natürlich nicht enthält.

Nachtrag 8.4.:
Microsoft hat die Schwachstelle behoben (Security Bulletin MS14-017).
Ende des Nachtrags vom 8.4..

Carsten Eilers