Zero-Day-Lücke in Microsoft Office erlaubt remote Code-Ausführung

31. Mai 2022, 10:13
  • security
  • lücke
  • microsoft
image

Manipulierte Word-Dateien können Schadcode aus dem Internet nachladen – auch wenn Makros deaktiviert sind.

Der Security-Forscher Kevin Beaumont hat auf eine Sicherheitslücke in Microsoft-Office hingewiesen. Die von ihm "Follina" getaufte Lücke ermögliche das Einschleusen von Schadcode, auch wenn die Makro-Ausführung deaktiviert ist, beschreibt er das Problem. Allerdings müssten Opfer die "geschützte Ansicht" eines manipulierten Dokuments deaktivieren.
Microsoft stuft das Risiko der Lücke, die unter der CVE-Nummer 2022-30190 geführt wird, mit einem Score von 7,8 als "hoch" ein. Ein Angreifer, der diese Sicherheitslücke erfolgreich ausnutzt, könne beliebigen Code mit den Rechten der aufrufenden Anwendung ausführen, schreibt Microsoft. Der Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten erstellen.
Ein verseuchtes Dokument mit dem eingebetteten Exploit lade zunächst eine HTML-Datei, die einen Javascript-Code enthalte, von einem Remote-Webserver nach. Das Javascript wiederum verweise auf eine URL mit der ungewöhnlichen Kennung: "ms-msdt:" anstelle von "https:", beschreibt Sophos den Exploit. Unter Windows sei "ms-msdt:" ein proprietärer URL-Typ, der das Microsoft-Diagnose-Tool (MSDT) starte. Die zum MSDT via URL übermittelte Befehlszeile führe dazu, dass nicht vertrauenswürdiger Code ausgeführt werde.
Um das Problem einzudämmen, rät Microsoft dazu, den MSDT-URL-Protokollhandlers zu deaktivieren.
Laut Beaumont funktioniert der Exploit auf den älteren Office-Varianten 2013 und 2016. Einem anderen Forscher, Didier Stevens, gelang es aber, den Exploit auch auf einer vollständig gepatchten Version von Office 2021 zum Laufen zu bringen.
Inzwischen gibt es offenbar zahlreiche Anleitungen im Netz, die das konkrete Ausnutzen der Sicherheitslücke erläutern. Sogar einfach nutzbare Skripte zum Erstellen bösartiger Dokumente sind gemäss 'Heise' bereits verfügbar.

Loading

Mehr zum Thema

image

Microsoft bläst zum Angriff auf Google

Die Suchmaschine Bing soll dank KI-Hilfe zur ernsthaften Google-Alternative werden.

publiziert am 8.2.2023
image

Britische Kartellwächter wollen Microsofts Milliardenübernahme verhindern

Der Kauf des Spieleentwicklers Activision Blizzard führe zu höheren Preisen und weniger Wettbewerb, kritisiert die CMA.

publiziert am 8.2.2023
image

Nach Angriffswelle: Skript der CISA soll ESXi-Opfern helfen

Die US-Security-Behörde hat ein Skript veröffentlicht, um ESXi-Server wiederherzustellen.

publiziert am 8.2.2023
image

Alphv hackt Schweizer Finanzdienstleister Finaport

Die Cyberkriminellen konnten nach eigenen Angaben eine grössere Menge an Daten des Vermögensverwalters erbeuten. Die gestohlenen Informationen sind im Darkweb einsehbar.

publiziert am 8.2.2023