Computersicherheitsforscher haben ein Word-Dokument entdeckt, das beim Öffnen bösartigen Code aus dem Internet herunterlädt und ausführt. Und das, obwohl die Makroausführung deaktiviert ist. Ein offizielles Update zum Schließen der Schwachstelle in älteren Office-Versionen gibt es noch nicht, aber insbesondere die Verwendung der aktuellen Version von Microsoft Office vermeidet offenbar die gefundenen Exploits. Zudem sollten Opfer die „geschützte Ansicht“ eines manipulierten Dokuments deaktivieren.
Das von nao_sec gefundene Dokument wurde von einer weißrussischen IP-Adresse auf Virustotal hochgeladen. Das Dokument verwendet die Remote-Vorlagenfunktion von Word, um eine HTML-Datei aus dem Internet herunterzuladen. Dieser wiederum basiere auf Microsofts ms-msdt: URI-Manager, um zusätzlichen Code zu laden und PowerShell-Code auszuführen, erklärt Computerforscher Kevin Beaumont.
Problem-URI-Manager
Beaumont erklärt, dass dies es Angreifern ermöglicht, den erweiterten Schutz zu umgehen, der von Endpoint Detection and Response (EDR)-Systemen bereitgestellt wird. Schreiben Sie kurz und bündig, dass Microsoft Office den Code mit dem Diagnosetool msdt.exe ausführt. Auch wenn die Makroausführung in der Konfiguration deaktiviert wurde. Die geschützte Ansicht startet jedoch zuerst.
Mit ein wenig Nachhilfe, so der Computersicherheitsforscher weiter, könne die Gefährlichkeit noch gesteigert werden: Ändere man das Dokument in das RTF-Format, werde der Code bereits ausgeführt, ohne dass der Nutzer die Datei öffnet. Dies ist in der Windows Explorer-Vorschau. Dort natürlich ohne “geschützte Sicht”.
Betroffene Softwareversionen
Der Betrieb funktioniert in mehreren getesteten Konfigurationen. Beispielsweise unter Windows 10, ohne lokaler Administrator zu sein, wo die Makroausführung vollständig deaktiviert ist, mit Microsoft Defender und Office 365 im halbjährlichen Kanal, öffnete ein von Beaumont erstelltes Proof-of-Concept-Dokument den Rechner ohne Murren.
Betroffen waren auch Office 2013 und 2016. Auch andere Versionen könnten anfällig sein. Ein anderer Twitter-Nutzer konnte die Schwachstelle in Windows 11 mit den Mai-Patchday-Updates und Office Pro Plus mit den April-Updates replizieren. Ein anderer Forscher konnte den Fehler in einem Microsoft Office 2021 mit aktuellem Patchlevel reproduzieren.
Beaumont konnte dies jedoch nicht mit dem Office-Paket auf dem Insider-Kanal und aktuellen Versionen tun. Der Computerforscher vermutet, dass Microsoft etwas am System gehärtet hat oder die Schwachstelle beheben wollte, ohne sie zu dokumentieren. Es schließt nicht aus, dass die Bedienung für diese Versionen nicht ausreichend angepasst ist.
Keine Panik
Es ist seit langem bekannt, dass Cyberkriminelle diese Zero-Day-Schwachstellen in Office schnell ausnutzen, um Opfern Schaden zuzufügen. Laut Beaumont ist es auch schlecht für die Erkennung von Antivirenlösungen. Vor allem, weil der Schadcode aus dem Word-Dokument nachgeladen wird und zunächst nichts Schädliches im Word-Dokument ist.
Andererseits sind in Belarus bisher nur vereinzelte Angriffe bekannt, kein Grund zur Panik. Benutzer müssen das Dokument aktiv öffnen, und “Geschützte Ansicht” scheint auch seinem Namen gerecht zu werden. Angreifer könnten jedoch Social Engineering verwenden, um Opfer davon zu überzeugen, sie zu deaktivieren.
Gegenmaßnahmen
In seiner Zusammenfassung von Defender for Payment Endpoint hat Kevin Beaumont eine Regel erstellt, um vor diesen schädlichen Dokumenten zu warnen. Lösungsadministratoren könnten sie importieren und verteilen.
IT-Administratoren sollten bekannte Sicherheitsmaßnahmen ergreifen und ihre Netzwerke etwas genauer auf ungewöhnliche Aktivitäten untersuchen und überwachen. Es wird empfohlen, dass Mitarbeiter die Erinnerung aktualisieren, dass das Öffnen von unerwünschten Office-Dateien gefährlich ist und mit der anderen Person im Voraus geklärt werden sollte.
Darüber hinaus sollten Mitarbeiter darüber informiert werden, dass Angreifer mit Social Engineering Druck erzeugen könnten, um die „geschützte Ansicht“ eines Dokuments zu deaktivieren oder die Ausführung von Makros zuzulassen. Administratoren sollten nach Möglichkeit auf aktuelle Microsoft-Produkte umsteigen, da der Zero-Day-Betrieb nicht zu funktionieren scheint.
Diese Schwachstelle ist ein weiterer Fall, der zeigt, dass Microsoft-URI-Treiber problematisch und angreifbar sein können. Vor einem halben Jahr zeigten Forscher von positive.security, wie sie den URI-Treiber für ms-officecmd missbrauchen können: um beim Surfen auf einer gehackten Website schädlichen Code in den alten Internet Explorer einzuschleusen.
(DMK)
Auf der Homepage