Mimecast entdeckt Microsoft Office-Produktschwachstelle

cyber-security-v-resilinece

Was passiert, wenn man hochentwickelte Anti-Phishing-Anhangsinspektion, statische Dateianalyse, maschinenausführbaren Code in Datendateien, Kundenberichte über Fehlalarme, Microsoft Office Suite, ActiveX-Steuerelemente und ein wenig Glück kombinieren? Die Entdeckung einer wichtigen neu gepatchten Schwachstelle mit Microsoft Office-Produkten.

Diese neu gepatchte Schwachstelle in Microsoft Office-Produkten, die vom Team der Mimecast Research Labs entdeckt wurde, hat höchstwahrscheinlich das weit verbreitete, unbeabsichtigte Austreten sensibler Informationen in Millionen von zuvor erstellten Office-Dateien zur Folge. Mimecast zufolge ist jedoch keine tatsächliche Ausnutzung dieser Schwachstelle bekannt.

Diese Schwachstelle wurde von Microsoft als „wichtig“ eingestuft, was bedeutet, dass sie zum „Kompromiss der Vertraulichkeit, Integrität oder Verfügbarkeit von Benutzerdaten oder der Integrität oder Verfügbarkeit von Verarbeitungsressourcen“ führen könnte.

Dies erinnert an die Heartbleed-Schwachstelle, die 2014 in der OpenSSL-Kryptobibliothek offenbart wurde und die eine weit verbreitete Offenlegung des Speichers des Hosts ermöglichte, auf dem die ungepatchte Version der Bibliothek lief.

Microsoft hat kürzlich einen Sicherheitspatch für diese Schwachstelle veröffentlicht. Es wird allen Benutzern von Microsoft Office-Produkten geraten, diesen Patch so schnell wie möglich aufzuspielen.

Wie Mimecast diese Microsoft-Schwachstelle entdeckte

Der Hintergrund ist wie folgt: Anfang November 2018 untersuchten die Mimecast Research Labs einen Vorfall, der zuerst wie eine gewöhnliche falsch-positive Malware-Warnung aussah. Im Rahmen der normalen Geschäftstätigkeit erhält Mimecast Berichte von Kunden über falsch-positive Erkennungen von Phishing-Angriffen, darunter auch die Erkennung von Dateien, die im Verdacht stehen, bösartig zu sein.

Die Untersuchung einer angeblich falsch-positiven Malware-Datei stellte sich schnell als etwas anderes heraus. Im Rahmen dieser Untersuchung wurde klar, dass das Microsoft Office-Produkt ein Speicherleck hatte. Hierbei handelte es sich nicht nur ein Speicherleck, das einfach zu viel Systemspeicher verbrauchte, sondern das zu einer unbeabsichtigten Offenlegung von Informationen für jede nicht gepatchte Microsoft Office-Suite-Instanz mit ActiveX-Steuerelementen führen könnte.

Bei einer eingehenderen Prüfung der eingereichten Dateien stellte das Team fest, dass sie tatsächlich maschinenausführbaren Code enthielten, der in der Regel ein Sicherheitsrisiko in einer Datendatei wie der Microsoft Word-Lösung darstellt. Diese Existenz von maschinenausführbarem Code in einer Datendatei ist in der Regel ein wichtiger Indikator für einen möglichen Missbrauch. Aber in diesem Fall war die ausführbare Maschine nur ein Fragment und damit nicht bösartig. Weitere Untersuchungen führten zu dem Schluss, dass Microsoft Office-Dateien mit ActiveX-Steuerelementen immer wieder Speicherlecks verursachen.

Tatsächlich führt dieses Speicherleck dazu, dass Speicherinhalte dauerhaft in verschiedene Microsoft Office-Dateien geschrieben wurden und bot somit Potenzial für das unbeabsichtigte Leeren von sensiblen Informationen und lokalen Maschineninformationen.  Dies ist die Art von Daten, die Cyberkriminellen bei der Ausführung eines Malware-gestützten, RCE(Remote Code Execution)-Angriffs hilft, um sensible Informationen zu stehlen. Die Mimecast-Teams haben Beweise dafür, dass diese Lecks in Dokumenten schon vor einigen Jahren entstanden sind. Einige Dokumente, die sensible Benutzerinformationen enthielten,   wurden sogar online gefunden.

Welche Auswirkungen hat diese Schwachstelle auf die Sicherheit?

Es ist davon auszugehen, dass die gepatchten Systeme nach dem Einspielen des Patches nicht mehr anfällig für diese Sicherheitslücke sind. Das ist die gute Nachricht. Was ist jedoch mit den Millionen von Office-Dateien, die bisher von anfälligen Microsoft Office-Versionen erstellt wurden, die jetzt zufällige Teile potenziell sensibler Informationen in sich tragen? Wenn diese Dateien derzeit im öffentlichen Internet verfügbar sind, stehen sie jedem zur Verfügung. Empfehlenswert ist hierbei, sie zu entfernen oder mit einer gepatchten Version von Microsoft Office neu zu speichern.

Die Erkennung dieser Schwachstelle zeigt, dass sorgfältige Untersuchungen auch bei Fehlalarmen zu wichtigen Sicherheitsentdeckungen führen können.