Update - Schwerwiegende Sicherheitslücke in Microsoft OLE - aktiv ausgenützt
Microsoft hat Patches für alle betroffenen Windows-Versionen veröffentlicht. Diese werden über Windows Update verteilt. Details dazu im Microsoft Security Bulletin Summary für November 2014.
Beschreibung
Microsoft hat im Zuge des Oktober-Patchdays auch ein Update herausgegeben, das einen Fehler in Microsoft OLE (CVE-2014-4114) korrigieren sollte, der aktiv im Rahmen von APT-Kampagnen ausgenutzt wurde.Es hat sich jetzt herausgestellt, dass dieser Patch das Problem nicht umfassend behoben hat. Andererseits wird von mehreren Seiten berichtet, dass aktuell CVE-2014-4114 in einigen aktuellen Kampagnen benutzt wird. Konkret gibt Microsoft an, dass mit PowerPoint-Dateien bereits gepatchte Systeme angegriffen werden.
Microsoft hat dazu ein Security Advisory und ein Fix-it Tool veröffentlicht.
Die Schwachstelle betrifft Microsoft Object Linking and Embedding (OLE), diese Technik erlaubt das Einbetten von Inhalten einer Anwendung in ein Dokument einer anderen Anwendung. Ein typisches Beispiel dafür ist eine Excel-Tabelle in einer PowerPoint-Präsentation. Öffnet ein Benutzer ein entsprechend präpariertes Dokument, so kann der Angreifer beliebigen Code mit den Rechten des angemeldeten Benutzers ausführen.
Auswirkungen
Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potenziell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.Betroffene Systeme
OLE wird zwar meist mit Microsoft Office assoziiert, ist aber ein generischer Mechanismus im Betriebssystem, der auch von anderen Anwendungen verwendet wird. Betroffen sind daher Windows-Versionen, nicht spezielle Office-Versionen.- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 for 32-bit Systems Service Pack 2
- Windows Server 2008 for x64-based Systems Service Pack 2
- Windows Server 2008 for Itanium-based Systems Service Pack 2
- Windows 7 for 32-bit Systems Service Pack 1
- Windows 7 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
- Windows 8 for 32-bit Systems
- Windows 8 for x64-based Systems
- Windows 8.1 for 32-bit Systems
- Windows 8.1 for x64-based Systems
- Windows Server 2012
- Windows Server 2012 R2
- Windows RT
- Windows RT 8.1
Abhilfe
Microsoft rät, bis zum Erscheinen entsprechend gefixter Versionen, zu folgenden Gegenmaßnahmen:- Installation des bereitgestellten Fix-it Tools.
- Kein Öffnen von Files aus nicht vertrauenswürdigen Quellen.
- Installation und Konfiguration des "Enhanced Mitigation Experience Toolkit" (EMET).
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Microsoft Security Advisory 3010060 (englisch)
https://technet.microsoft.com/en-us/library/security/3010060.aspx
Microsoft Security Response Center - Blog zu diesem Thema (englisch)
http://blogs.technet.com/b/msrc/archive/2014/10/21/security-advisory-3010060-released.aspx
Microsoft Support-Seite mit Fix it solution (englisch)
https://support.microsoft.com/kb/3010060
New Exploit of Sandworm Zero-Day Could Bypass Official Patch (McAfee, englisch)
http://blogs.mcafee.com/mcafee-labs/new-exploit-sandworm-zero-day-bypass-official-patch
Microsoft Security Bulletin Summary for November 2014
https://technet.microsoft.com/en-us/library/security/MS14-NOV