DFN-CERT-2016-1496 Microsoft Office: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Apple][Windows]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Microsoft Excel 2007 SP3
Microsoft Excel 2010 SP2 x86
Microsoft Excel 2010 SP2 x64
Microsoft Excel 2013 RT SP1
Microsoft Excel 2013 SP1 x64
Microsoft Excel 2013 SP1 x86
Microsoft Excel 2016 Mac OS
Microsoft Excel 2016 x64
Microsoft Excel 2016 x86
Excel Services unter Microsoft Sharepoint Server 2007 SP3 x64
Excel Services unter Microsoft Sharepoint Server 2007 SP3 x86
Excel Services unter Microsoft Sharepoint Server 2010 SP2
Excel Services unter Microsoft Sharepoint Server 2013 sp1
Microsoft Excel Viewer
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 x64
Microsoft Office 2010 SP2 x86
Microsoft Office 2013 RT SP1
Microsoft Office 2013 SP1 x64
Microsoft Office 2013 SP1 x86
Microsoft Office 2016 x64
Microsoft Office 2016 x86
Microsoft Office Compatibility Pack SP3
Microsoft Office Online Server
Microsoft Office Web Apps 2010 SP2
Microsoft Office Web Apps 2013 SP1
Microsoft Outlook 2007 SP3
Microsoft Outlook 2010 SP2 x64
Microsoft Outlook 2010 SP2 x86
Microsoft Outlook 2013 SP1 x86
Microsoft Outlook 2013 SP1 x64
Microsoft Outlook 2013 RT SP1
Microsoft Outlook 2016 x64
Microsoft Outlook 2016 x86
Microsoft Outlook 2016 Mac
Microsoft PowerPoint 2007 SP3
Microsoft PowerPoint 2010 SP2 x64
Microsoft PowerPoint 2010 SP2 x86
Microsoft PowerPoint 2013 SP1 x64
Microsoft PowerPoint 2013 SP1 x86
Microsoft PowerPoint 2013 RT SP1
Microsoft PowerPoint 2016 Mac OS
Microsoft PowerPoint Viewer
Microsoft Sharepoint Server 2007 SP3 x64
Microsoft Sharepoint Server 2007 SP3 x86
Microsoft Sharepoint Server 2010 SP2
Microsoft Sharepoint Server 2013 SP1
Microsoft Visio 2016 x64
Microsoft Visio 2016 x86
Microsoft Word 2011 Mac OS
Microsoft Word 2016 Mac OS
Microsoft Word Automation Services unter Microsoft SharePoint Server 2010
SP2
Microsoft Word Automation Services unter Microsoft SharePoint Server 2013
SP1
Microsoft Word Viewer

Betroffene Plattformen:

Apple Mac OS X
Microsoft Windows
Microsoft Windows RT

Mehrere Schwachstellen in Microsoft Office ermöglichen einem entfernten,
nicht authentifizierten Angreifer beliebigen Programmcode mit den Rechten
des angemeldeten Benutzers zur Ausführung zu bringen und, abhängig von
dessen Rechten, möglicherweise die vollständige Kontrolle über das System zu
erlangen. Ein entfernter, nicht authentisierter Angreifer kann darüber
hinaus Sicherheitsvorkehrungen umgehen, Informationen ausspähen und falsche
Informationen darstellen. Von diesen Schwachstellen sind verschiedene
Versionen von Office, Office-Komponenten und -Produkten sowie Office-Dienste
und Web Apps betroffen (siehe Microsoft Sicherheitshinweise MS16-107). Die
Schwachstelle CVE-2016-3357 ermöglicht bei verschiedenen betroffenen
Produkten die Ausnutzung der Schwachstelle bereits im Vorschaumodus (Preview
Pane) einer manipulierten Datei.

Patch:

Microsoft Sicherheitshinweise MS16-107 (Microsoft Office)

https://technet.microsoft.com/en-us/library/security/MS16-107

CVE-2016-3366: Schwachstelle in Microsoft Outlook ermöglicht das Darstellen
falscher Informationen

Microsoft Outlook hält sich nicht strikt an die Vorgaben des RFC2046,
wodurch das Ende eines ‘MIME-Attachments’ nicht korrekt identifiziert wird.
Durch diesen Fehler werden eventuell Antiviren- bzw. Antispam-Scans von
Attachments nicht ordnungsgemäß vollständig durchgeführt. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
‘Social-Engineering’-Angriffe, z. B. einen Phishing-Angriff, zu starten,
indem er ein entsprechend präpariertes Attachment an einen Benutzer sendet
und ihn verleitet es in Outlook zu öffnen.

CVE-2016-3364: Schwachstelle in Microsoft Office ermöglicht Ausführen
beliebigen Programmcodes mit Benutzerrechten

Microsoft Office verarbeitet Objekte im Arbeitsspeicher nicht ordnungsgemäß.
Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle
dazu ausnutzen, beliebigen Programmcode mit den Rechten des Benutzers
auszuführen, wenn er diesen dazu verleiten kann, ein entsprechend
manipuliertes Office Dokument mit einer verwundbaren Version von Office zu
öffnen. Ist der Nutzer mit Administratorrechten angemeldet, kann der
Angreifer sogar das gesamte System vollständig übernehmen. Dies ermöglicht
dem Angreifer beliebige Programme zu installieren, Dateien zu lesen /
verändern / löschen oder Benutzerkonten mit sämtlichen Rechten zu erstellen.

CVE-2016-3363 CVE-2016-3381: Schwachstellen in Microsoft Office ermöglichen
Ausführen beliebigen Programmcodes mit Benutzerrechten

Microsoft Office verarbeitet Objekte im Arbeitsspeicher nicht ordnungsgemäß.
Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstellen
dazu ausnutzen, beliebigen Programmcode mit den Rechten des Benutzers
auszuführen, wenn er diesen dazu verleiten kann, ein entsprechend
manipuliertes Office Dokument mit einer verwundbaren Version von Office zu
öffnen. Ist der Nutzer mit Administratorrechten angemeldet, kann der
Angreifer sogar das gesamte System vollständig übernehmen. Dies ermöglicht
dem Angreifer beliebige Programme zu installieren, Dateien zu lesen /
verändern / löschen oder Benutzerkonten mit sämtlichen Rechten zu erstellen.

CVE-2016-3362 CVE-2016-3365: Schwachstellen in Microsoft Office ermöglichen
Ausführen beliebigen Programmcodes mit Benutzerrechten

CVE-2016-3361: Schwachstelle in Microsoft Office ermöglicht Ausführen
beliebigen Programmcodes mit Benutzerrechten

CVE-2016-3360: Schwachstelle in Microsoft Office ermöglicht Ausführen
beliebigen Programmcodes mit Benutzerrechten

CVE-2016-3359: Schwachstelle in Microsoft Office ermöglicht Ausführen
beliebigen Programmcodes mit Benutzerrechten

CVE-2016-3358: Schwachstelle in Microsoft Office ermöglicht Ausführen
beliebigen Programmcodes mit Benutzerrechten

CVE-2016-3357: Schwachstelle in Microsoft Office ermöglicht Ausführen
beliebigen Programmcodes mit Benutzerrechten

Microsoft Office verarbeitet Objekte im Arbeitsspeicher nicht ordnungsgemäß.
Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle,
unter anderem in der Dokumentenvoransicht (Preview Pane), dazu ausnutzen,
beliebigen Programmcode mit den Rechten des Benutzers auszuführen, wenn er
diesen dazu verleiten kann, ein entsprechend manipuliertes Office Dokument
mit einer verwundbaren Version von Office zu öffnen. Ist der Nutzer mit
Administratorrechten angemeldet, kann der Angreifer sogar das gesamte System
vollständig übernehmen. Dies ermöglicht dem Angreifer beliebige Programme zu
installieren, Dateien zu lesen / verändern / löschen oder Benutzerkonten mit
sämtlichen Rechten zu erstellen.

CVE-2016-0141: Schwachstelle in Microsoft Office ermöglicht Ausspähen von
Informationen

Durch einen Programmierfehler in Microsoft Office wird beim Speichern von
Dokumenten durch Visual Basic-Makros ordnungswidrig der private Schlüssel
eines Benutzers aus dem Zertifikatsspeicher (Certificate Store) exportiert
und in das Dokument eingebettet. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um an den privaten Schlüssel
eines Benutzers zu gelangen, indem er sich z.B. durch Social-Engineering
Zugang zu einem derart gespeicherten Dokument verschafft. Durch den
Schlüssel kann der Angreifer an vertrauliche Informationen gelangen, die
eventuell auch für weitere Angriffe missbraucht werden können.

CVE-2016-0137: Schwachstelle in Microsoft Office ermöglicht Umgehen von
Sicherheitsvorkehrungen

Die Click-to-Run-Komponente (C2P) in den Microsoft Produkten Office 2013 SP1
und Office 2016 enthalten eine Schwachstelle, durch die Informationen zum
Umgehen der Sicherheitsfunktion der zufälligen Anordnung des Layouts des
Adressraums (Address Space Layout Randomisation, ASLR) ausgespäht werden
können. Ein lokaler, einfach authentifizierter Angreifer kann durch die
Ausführung einer speziellen Anwendung diese Schwachstelle ausnutzen, um die
ASLR-Schutzfunktion zu umgehen. In Kombination mit weiteren Schwachstellen,
welche beispielsweise die Ausführung beliebigen Programmcodes erlauben, kann
der Angreifer diesen, aufgrund der leichteren Vorhersage der
Speicheradresse, zuverlässiger zur Ausführungen bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1496/

Microsoft Sicherheitshinweise MS16-107 (Microsoft Office):
https://technet.microsoft.com/en-us/library/security/MS16-107

Schwachstelle CVE-2016-0137 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0137

Schwachstelle CVE-2016-0141 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0141

Schwachstelle CVE-2016-3357 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3357

Schwachstelle CVE-2016-3358 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3358

Schwachstelle CVE-2016-3359 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3359

Schwachstelle CVE-2016-3360 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3360

Schwachstelle CVE-2016-3361 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3361

Schwachstelle CVE-2016-3362 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3362

Schwachstelle CVE-2016-3363 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3363

Schwachstelle CVE-2016-3364 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3364

Schwachstelle CVE-2016-3365 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3365

Schwachstelle CVE-2016-3366 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3366

Schwachstelle CVE-2016-3381 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3381

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.