Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Microsoft Excel 2007 SP3
Microsoft Excel 2010 SP2 x64
Microsoft Excel 2010 SP2 x86
Excel Services unter Microsoft Sharepoint Server 2010 SP2
Excel Services unter Microsoft Sharepoint Server 2013 sp1
Excel Web App 2010 SP2
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 x64
Microsoft Office 2010 SP2 x86
Microsoft Office 2013 SP1 x64
Microsoft Office 2013 SP1 x86
Microsoft Office 2016 x64
Microsoft Office 2016 x86
Microsoft Office Compatibility Pack SP2
Microsoft Office Online Server
Microsoft Office Web Apps 2010 SP2
Microsoft Office Web Apps Server 2013 SP1
Microsoft OneNote 2007 SP3
Microsoft OneNote 2010 SP2 x64
Microsoft OneNote 2010 SP2 x86
Microsoft Outlook 2007 SP3
Microsoft Outlook 2010 SP2 x64
Microsoft Outlook 2010 SP2 x86
Microsoft Outlook 2011 Mac OS
Microsoft Outlook 2013 SP1 x86
Microsoft Outlook 2013 SP1 x64
Microsoft Outlook 2016 x64
Microsoft Outlook 2016 x86
Betroffene Plattformen:
Apple Mac OS X
macOS Sierra
Microsoft Windows
Microsoft Windows RT
Mehrere Schwachstellen in Microsoft Office ermöglichen es einem entfernten,
nicht authentifizierten Angreifer, beliebigen Programmcode mit den Rechten
des angemeldeten Benutzers zur Ausführung zu bringen und, abhängig von
dessen Rechten, möglicherweise die vollständige Kontrolle über das
betroffene System zu erlangen. Darüber hinaus kann der Angreifer
Sicherheitsvorkehrungen umgehen, Informationen ausspähen und einen
Cross-Site-Scripting-Angriff durchführen.
Die Schwachstellen betreffen verschiedene Versionen von Office,
Office-Komponenten und -Produkten sowie Office-Diensten und Web Apps auf
Windows-Systemen. Eine der Schwachstellen betrifft ausschließlich Microsoft
Outlook for Mac 2011.
Die Schwachstelle CVE-2017-0106 ermöglicht die komplette Übernahme eines
Systems bereits über den Vorschaumodus (Preview) einer E-Mail-Nachricht,
also ohne die Nachricht zu öffnen.
Microsoft informiert darüber, dass die Schwachstelle CVE-2017-0199
öffentlich bekannt ist und bereits aktiv ausgenutzt wird. Die ursprüngliche
Zero-Day-Schwachstelle ermöglicht die komplette Kompromittierung eines
Systems über die Vorschau und das Öffnen von Office-Dokumenten. Insbesondere
hilft die Deaktivierung von Makros in Microsoft Office und Office-Produkten
*nicht* bei der Mitigation dieser Schwachstelle.
Workaround:
Sicherheitsforscher von McAfee, die die Informationen zur Schwachstelle
CVE-2017-0199 ursprünglich verbreitet haben, weisen in einem Blogeintrag
darauf hin, dass der Angriff den ‘Protected View’ von Office wahrscheinlich
nicht überwinden kann. Dieser sollte daher aktiviert werden. CERT/CC gibt
darüber hinaus Hinweise zur Blockierung von RTF-Dokumenten in Microsoft Word
über die ‘File Block Settings’ im Microsoft Office Trust Center.
Weiterhin hat Microsoft ein Update für Microsoft Office veröffentlicht,
durch welches der Encapsulated PostScript (EPS)-Filter als
Verteidigungsmaßnahme in der Standardeinstellung deaktiviert wird (siehe
dazu Microsoft Sicherheitshinweis 2017-2605). Damit reagiert Microsoft auf
eine weiterhin ungepatchte Sicherheitslücke im EPS-Filter von Microsoft
Office. Microsoft rät davon ab, den Filter zu verwenden, bis ein
Sicherheitsupdate zur Verfügung steht.
Patch:
Microsoft Security Advisory 2017-2605 | Defense-in-Depth-Update für
Microsoft Office
https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/2017-2605
Patch:
Microsoft Security Update Guide
https://portal.msrc.microsoft.com/de-de/security-guidance
CVE-2017-0207: Schwachstelle in Office ermöglicht Darstellung falscher
Informationen
Eine Schwachstelle existiert in Microsoft Outlook aufgrund unzureichender
Validierung von HTML-Tags. Ein entfernter, nicht authentisierter Angreifer
kann die Schwachstelle ausnutzen, indem er einem Benutzer eine präparierte
E-Mail-Nachricht mit spezifischen HTML-Tags sendet, die einen schädlichen
Authentisierungs-Prompt anzeigt. Dadurch kann er den Benutzer zur Eingabe
seiner Authentisierungsinformationen und Login-Credentials verleiten.
CVE-2017-0204: Schwachstelle in Outlook ermöglicht Umgehen von
Sicherheitsvorkehrungen
Eine Schwachstelle existiert in Microsoft Outlook aufgrund fehlerhafter
Behandlung beim Einlesen von Dateiformaten. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, wenn es ihm
gelingt einen Benutzer dazu zu verleiten, eine speziell präparierte Datei
mit einer betroffenen Version der Microsoft Office Software zu öffnen, um
Sicherheitsvorkehrungen zu umgehen. Die Schwachstelle selbst ermöglicht
nicht die Ausführung von Programmcode, kann jedoch in Verbindung mit einer
anderen Schwachstelle von dem Angreifer ausgenutzt werden, um dieses zu
erreichen.
CVE-2017-0197: Schwachstelle in OneNote ermöglicht Ausführen beliebigen
Programmcodes
Eine Schwachstelle existiert in Microsoft OneNote aufgrund unzureichender
Validierung von Eingaben bevor Dynamic Link Library (DLL)-Dateien geladen
werden. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, wenn es ihm gelingt einen Benutzer dazu zu
verleiten, ein speziell präpariertes Office-Dokument zu öffnen, um ein
betroffenes System vollständig zu übernehmen. Der Angreifer kann dann,
abhängig davon, mit welchen Rechten der Benutzer arbeitet, Programme
installieren, Daten lesen, verändern oder löschen sowie neue Benutzerkonten
mit vollen Rechten anlegen.
CVE-2017-0195: Schwachstelle in Office ermöglicht
Cross-Site-Scripting-Angriff
Eine Schwachstelle existiert in Microsoft Office Web Apps Server aufgrund
unzureichender Bereinigung speziell präparierter Anfragen. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, indem er
eine solche Anfrage (Request) an einen Office Wep Apps Server sendet, um
einen Cross-Site-Scripting (XSS)-Angriff gegen ein betroffenes System
durchzuführen und Skripte im Sicherheitskontext des aktuellen Benutzers
auszuführen. Dafür muss der Angreifer einen Benutzer dazu verleiten, auf
eine speziell präparierte URL zu klicken (z.B. in einer E-Mail-Nachricht).
Der Angreifer kann dann die Identität des Benutzers ausspähen und selbst
verwenden, um Aktionen auf dem SharePoint im Namen dieses Benutzers
auszuführen. Dazu gehören die Änderung von Berechtigungen, das Löschen von
Inhalten, das Ausspähen sensitiver Informationen (wie etwa Browser-Cookies)
und die Möglichkeit, schädliche Inhalte in den Browser einzuschleusen.
CVE-2017-0194: Schwachstelle in Office ermöglicht Ausspähen von
Informationen
Eine Schwachstelle in Microsoft Office führt dazu, dass Speicherinhalte
fehlerhaft offengelegt werden. Ein entfernter, nicht authentisierter
Angreifer kann diese Schwachstelle ausnutzen, wenn es ihm gelingt einen
Benutzer dazu zu verleiten, ein speziell präpariertes Dokument zu öffnen und
er außerdem die Speicheradresse kennt, unter der das Objekt angelegt wird,
um Informationen auszuspähen, mittels derer das System oder Daten des
Benutzers kompromittiert werden können.
CVE-2017-0106: Schwachstelle in Outlook ermöglicht Ausführen beliebigen
Programmcodes
Eine Schwachstelle existiert in der Art und Weise wie Microsoft Outlook
speziell präparierte E-Mail-Nachrichten einliest. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, wenn es ihm
gelingt einen Benutzer dazu zu verleiten, eine solche E-Mail-Nachricht mit
einer betroffenen Version von Microsoft Outlook oder in der Voransicht zu
öffnen, um ein betroffenes System vollständig zu übernehmen. Der Angreifer
kann dann Programme installieren, Daten lesen, verändern oder löschen sowie
neue Benutzerkonten mit vollen Rechten anlegen.
CVE-2017-0199: Schwachstelle in Office / WordPad und Windows API ermöglicht
Ausführen beliebigen Programmcodes
Eine Schwachstelle existiert in der Art und Weise wie Microsoft Office und
WordPad speziell präparierte Dateien einlesen. Nach Aussage von Forschern
der Firma McAfee steht die Schwachstelle in Verbindung mit dem Windows
Object Linking and Embedding (OLE) Feature von Microsoft Office. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, wenn es ihm gelingt einen Benutzer dazu zu verleiten, eine
präparierte Datei mit einer betroffenen Version von Microsoft Office oder
WordPad zu öffnen, um ein betroffenes System vollständig zu übernehmen. Der
Angreifer kann dann Programme installieren, Daten lesen, verändern oder
löschen sowie neue Benutzerkonten mit vollen Rechten anlegen. Die
Schwachstelle wurde bereits vor Verfügbarkeit eines Sicherheitsupdates
entdeckt (Zero-day) und für Angriffe ausgenutzt.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0638/
Microsoft Security Advisory 2017-2605 | Defense-in-Depth-Update für Microsoft
Office:
https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/2017-2605
Microsoft Security Update Guide:
https://portal.msrc.microsoft.com/de-de/security-guidance
Carnegie Mellon University CERT Vulnerability Note VU#921560:
https://www.kb.cert.org/vuls/id/921560
McAfee Blog: Critical Office Zero-Day Attacks Detected in the Wild:
https://securingtomorrow.mcafee.com/mcafee-labs/critical-office-zero-day-attacks-detected-wild/
Microsoft April 2017 Sicherheitsupdates:
https://portal.msrc.microsoft.com/de-de/security-guidance/releasenotedetail/42b8fa28-9d09-e711-80d9-000d3a32fc99
Microsoft Knowledge Base Artikel 2479871:
https://support.microsoft.com/de-de/help/2479871/security-settings-for-graphic-filters-for-microsoft-office-365
Microsoft Knowledge Base: What is Protected View?:
https://support.office.com/en-us/article/What-is-Protected-View-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653
Schwachstelle CVE-2017-0106 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0106
Schwachstelle CVE-2017-0194 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0194
Schwachstelle CVE-2017-0195 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0195
Schwachstelle CVE-2017-0197 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0197
Schwachstelle CVE-2017-0199 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0199
Schwachstelle CVE-2017-0204 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0204
Schwachstelle CVE-2017-0207 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0207
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
