0-Day-Exploit für MS Office im Umlauf
McAfee
warnt
seit dem 7. April vor einem 0-Day-Exploit für eine Schwachstelle in
MS Office, die zur Zeit über präparierte Word-Dokumente
ausgenutzt wird. Dabei handelt es sich um RTF-Dokumente mit der
(dafür eigentlich unüblichen) Dateiendung .doc
.
Der Exploit lädt von einem Server der Angreifer eine HTML-Anwendung
herunter, die als .hta
-Datei ausgeführt wird, was dem
Angreifer die Ausführung beliebigen Schadcodes erlaubt. Der Inhalt der
.hta
-Datei tarnt sich als normale RTF-Datei, enthält aber
Visual-Basic-Code. Damit das Opfer den Angriff nicht bemerkt wird zur
Tarnung eine harmlose Datei angezeigt.
Anders als sonst beim Einsatz von 0-Day-Exploit gibt es diesmal keine gezielten Angriffe, stattdessen verbreiten Cyberkriminelle verschiedene Schädlingsfamilien über den 0-Day-Exploit. Damit entfällt auch die sonst übliche Ausrede, dass die Allgemeinheit nicht gewarnt wurde, weil es nur vereinzelte Angriffe gab. Damit geben sich die Cyberkriminellen beim Verbreiten gleich mehrere Schädlingsfamilien bestimmt nicht zufrieden.
Der Angriff erfolgt über eine Schwachstelle im Windows Object Linking and Embedding (OLE) und schlägt fehl, wenn die Datei mit dem Exploit im "Protected View"-Modus geöffnet wird. Generell sollten Sie gar keine suspekten Dateien öffnen, aber wenn es denn umbedingt sein muss können Sie über die Nutzung des "Protected View"-Modus zumindest die aktuellen Angriffe abwehren.
McAfee verrät leider nicht, wie die Dateien auf den Rechner gelangen. FireEye hat nach McAfees Veröffentlichung bekannt gegeben, den Exploit schon länger zu kennen und an Microsoft gemeldet zu haben. Ach ja: Und deren Schutzsysteme wehren den Angriff natürlich ab. Wäre ja auch ziemlich traurige, wenn dem nicht so wäre, oder?
Alle anderen potentiellen Opfer sind denen natürlich völlig egal. Warum auch die Allgemeinheit warnen, wenn man mit dem Geheimhalten Geld verdienen kann, nicht wahr? Vor allem, wenn es so einen einfachen Workaround wie die Nutzung des "Protected View"-Modus gibt. Das würde ja das Geschäft versauen, wenn die Kunden merken würden, dass ihr teuer gekaufter Schutz eigentlich überflüssig ist.
Ach ja: Laut FireEye erfolgen die Angriffe über E-Mails mit der Exploit-Datei als Anhang. Also besteht auch ohne Schutzprogramme für aufmerksame Benutzer keine Gefahr. Denn dass man unaufgefordert zugeschickte Mail-Anhänge nicht öffnet weiß inzwischen ja wohl wirklich jeder. Und wer dass nicht weiß lässt sich auch zum Starten der Malware überreden, für den braucht man gar keinen Exploit, und einen 0-Day erst recht nicht.
Update 11.4.:
Proofpoint
meldet,
dass das Necurs-Botnetz massenhaft E-Mails mit diesem 0-Day-Exploit im
Anhang verschickt, um den Onlinebanking-Trojaner Dridex zu verbreiten.
Ohne "Protected View"-Modus reicht schon das Öffnen des
angehängten Word-Dokuments aus, um den Rechner zu infizieren. Ist der
"Protected View"-Modus eingeschaltet, wird der Exploit aktiv,
wenn das Editieren eingeschaltet wird.
Ende des Updates vom 11.4.
Ein Patch wurde von Microsoft bereits für den kommenden April-Patchday angekündigt.
Update 11.4.:
Da es keine Security Bulletins mehr gibt, ist es nicht so einfach,
festzustellen, ob die Schwachstelle behoben wurde oder nicht.
So, wie es aussieht, wird in Office nur eine Schwachstelle
behoben:
CVE-2017-0199.
Aber über die gibt es bisher keine Informationen, und in den KB-Artikeln,
die die Security Bulletins ersetzen sollen, steht nichts von laufenden
Angriffen.
Ende des Updates vom 11.4.
Übrigens ist das erst der 2. 0-Day-Exploit in diesem Jahr. Und wir haben schon April. Also von mir aus kann das gerne so ruhig weiter gehen.
Update 12.4.:
CVE-2017-0199
ist in der Tat die durch den 0-Day-Exploit ausgenutzte Schwachstelle,
damit gibt es seit gestern auch einen
Patch
dafür.
Ende des Updates vom 12.4.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Die 0-Day-Exploits 2017 im Überblick
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : April-Patchday ohne Security Bulletins, dafür mit 61 KB-Artikeln! Oder sogar 210!
Vorschau anzeigen