Zentraler Informatikdienst der TU Wien
> Zum Inhalt
2017-10-12 [

Andreas Blaha

]

Kritische Lücke in Microsoft Office ermöglicht Remote Code Execution

Bei Öffnen einer speziell präparierten Datei im Excel- oder Word-Format kann beliebiger Code eines Angreifers mit den Rechten des angemeldeten Benutzers auf dem System ausgeführt werden.

Die Schwachstelle basiert auf der Verwendung von Dynamic Data Exchange (DDE), einem Protokoll zum Austausch von Daten zwischen Applikationen, welches von Excel verwendet wird, um externe Informationen einzubinden. Das Filtern von Makros oder der Einsatz von restriktiven Policies bezüglich der Verwendung von VBA bieten dementsprechend keine Abhilfe.

Gezielte Angriffe scheinen scheinen aktuell bereits durchgeführt zu werden. Da die Methode nun öffentlich bekannt ist, ist anzunehmen, dass entsprechende Dateien bald massenhaft per zB Spam-Mail verteilt werden.

Auswirkungen

Über diesen Fehler kann potentiell beliebiger Code auf den betroffenen Systemen ausgeführt werden. Es sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Die Researcher geben an, dass alle Versionen von Microsoft Office, inkl. Office 2016 auf Windows 10, für diese Lücke anfällig sind.

Abhilfe

Es stehen noch keine Updates zur Verfügung.

Da das Öffnen von Dokumenten mit eingebundenen DDE-Elementen dem Benutzer im Normalfall zwei Sicherheitswarnungen präsentiert macht es Sinn, gesondert darauf hinzuweisen, Informationsfenster aktuell besonders kritisch zu betrachten, und sich bei etwaigen Unsicherheiten und Verdachtsfällen an die IT-Kontaktperson des Instituts zu wenden.

In diesem Zusammenhang weisen wir auch wieder darauf hin, dass durch das Entfernen von Administratorrechten, die für die tägliche Benutzung nicht notwendig sind, viele Angriffe vermieden werden könnten!