Angreifer nutzen seit Wochen Sicherheitslücke in Microsoft Word aus

SicherheitSicherheitsmanagement

Sie lässt sich mithilfe speziell präparierter Word-Dokumente ausnutzen. Der Fehler steckt in der Komponente Windows OLE. Ein Exploit ist mindestens seit Ende Januar im Umlauf. Er umgeht laut McAfee und FireEye viele Sicherheitsfunktionen von Windows.

McAfee und FireEye haben vor einer Zero-Day-Lücke in Microsoft Word gewarnt, die bereits für zielgerichtete Angriffe ausgenutzt wird. Angreifer können unter Umständen Schadcode einschleusen und auch auf vollständig gepatchten Systemen ausführen. Von der Schwachstelle betroffen sind alle Office-Versionen bis hin zu Office 2016 unter Windows 10. Exploits sind offenbar schon seit Ende Januar im Umlauf.

Security (Bild: Shutterstock)

Die Schwachstelle ist besonders gefährlich, weil sie nicht auf die Aktivierung von Makros angewiesen ist. Es fehlt also ein Hinweis, der Nutzer bei vielen Attacken mit Word-Dokumenten vor einer Infizierung ihres Systems mit Malware schützen kann.

Die Anfälligkeit steckt in der Funktion Windows Object Linking and Embedding (Windows OLE). Sie erlaubt es Anwendungen, Inhalte in andere Dokumente einzubetten. Benutzt wird sie in erster Linie von den Office-Anwendungen sowie dem in Windows enthaltenen Editor WordPad.

Ein speziell präpariertes Dokument im Rich Text Format (RTF) mit DOC-Dateiendung kann die Anfälligkeit ausnutzen. Wird es beispielsweise mit Word geöffnet, lädt die Textverarbeitung eine gefährliche HTML-Anwendung herunter, die wiederum im Hintergrund ein Skript ausführt, das für die Installation von Schadsoftware benutzt werden kann. Laut McAfee kann ein Angreifer beliebigen Code ausführen, ohne das speichbasierte Sicherheitsfunktionen wie ASLR vor dem Angriff schützen können.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

FireEye zufolge ist Microsoft über die Zero-Day-Lücke informiert worden. Sie sollte ursprünglich bis zur Bereitstellung eines Patches unter Verschluss bleiben. “Nach der Veröffentlichung durch ein anderes Unternehmen dient dieser Blogbeitrag als Bestätigung dafür, dass FireEye diese Attacken bekannt sind”, schreibt Sicherheitsforscher Genwei Jiang im FireEye-Blog. Ob mit dem anderen Unternehmen McAfee gemeint ist, das Details zu der Schwachstelle einen Tag vor FireEye öffentlich gemacht hat, ist nicht bekannt.

Unklar ist auch, ob Microsoft bereits einen Patch entwickelt hat. In dem Fall könnte der Fix bereits morgen Abend im Rahmen des April-Patchdays zur Verfügung stehen. Da die Anfälligkeit laut FireEye nahezu alle Windows-Sicherheitsfunktionen umgeht, rät das Unternehmen, den zu erwartenden Fix so schnell wie möglich zu installieren. Bis dahin empfiehlt McAfee, keine Office-Dateien aus unbekannten Quellen zu öffnen und zudem die geschützte Ansicht in Office zu aktivieren.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.