Erneut kritische Sicherheitslücken in Microsoft Office ActiveX (wird aktiv ausgenützt)

13. Juli 2009

Erneut kritische Sicherheitslücke in Microsoft Office ActiveX (Excel)

Angesichts der Schwere der Lücke, der hohen Verbreitung von Windows und der Tatsache, dass diese laut Microsoft schon aktiv ausgenutzt wird, bittet CERT.at um Beachtung folgenden Hinweises.

Beschreibung

Mittels eines speziell präparierten Excel-Dateien ist es möglich, den folgenden Versionen von Microsoft Windows beliebigen Programmcode unterzuschieben und somit Remote-Code-Execution zu erzielen:
  • Microsoft Office XP Service Pack 3
  • Microsoft Office 2003 Service Pack 3
  • Microsoft Office XP Web Components Service Pack 3
  • Microsoft Office 2003 Web Components Service Pack 3
  • Microsoft Office 2003 Web Components for the 2007 Microsoft Office system Service Pack 1
  • Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
  • Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
  • Microsoft Internet Security and Acceleration Server 2006
  • Internet Security and Acceleration Server 2006 Supportability Update
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
  • Microsoft Office Small Business Accounting 2006

Auswirkungen

Die starke Verwendung von Excel-Dateien im Geschäftsalltag macht diesen Angriffsweg besonders effizient. Da Angreifer potentiell beliebigen Code auf betroffenen Systemen ausführen können, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und anderen Systeme gefährdet.

Betroffene Systeme

Siehe oben.

Abhilfe

Es gibt derzeit kein Update, da Microsoft einen Patch noch testet. Allerdings hilft ein Quick Fix, den Microsoft bereitgestellt hat - der Quick Fix löscht Registry-Keys. Systemadministratoren, die diesen Schritt lieber selber machen wollen, können dies wie unter Suggested Actions beschrieben mittels Group-Policy im Unternehmen machen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen (etwa Microsoft Windows, Sun Java, Adobe Flash). Durch diese Vorgehensweise kann die Zeitspanne zwischen der Verfügbarkeit und Installation eines Updates minimiert werden.
Informationsquelle(n):

Microsoft Security Advisory (973472)
http://www.microsoft.com/technet/security/advisory/973472.mspx
Microsoft Fix It For Me Workaround
http://support.microsoft.com/kb/972890