Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (10.05.2017):
Microsoft behebt mit dem Sicherheitsupdate vom Mai 2017 auch die
Cross-Site-Scripting (XSS)-Schwachstelle CVE-2017-0255 im SharePoint
Server, welche nur Microsoft SharePoint Foundation 2013 Service Pack 1
betrifft.
Version 1 (10.05.2017):
Neues Advisory
Betroffene Software:
Microsoft Office 2007 SP3
Microsoft Office 2010 SP2 x64
Microsoft Office 2010 SP2 x86
Microsoft Office 2011 Mac
Microsoft Office 2013 RT SP1
Microsoft Office 2013 SP1 x64
Microsoft Office 2013 SP1 x86
Microsoft Office 2016 Mac
Microsoft Office 2016 x64
Microsoft Office 2016 x86
Microsoft Office Compatibility Pack SP3
Microsoft Office Online Server 2016
Microsoft Office Web Apps 2010 SP2
Microsoft Office Web Apps 2013 SP1
Microsoft Office Word Viewer
Microsoft PowerPoint 2011 for Mac
Microsoft Project Server 2013 Sp1
Microsoft Sharepoint Foundation 2013 SP1
Microsoft Sharepoint Server 2010 SP2
Microsoft Sharepoint Server Enterprise 2013 SP1
Microsoft Sharepoint Server Enterprise 2016
Microsoft Skype for Business 2016 x64
Microsoft Skype for Business 2016 x86
Microsoft Word 2007 SP3
Microsoft Word 2010 SP2 x64
Microsoft Word 2010 SP2 x86
Microsoft Word 2013 RT SP1
Microsoft Word 2013 SP1 x64
Microsoft Word 2013 SP1 x86
Microsoft Word 2016 x64
Microsoft Word 2016 x86
Microsoft Word Automation Services unter Microsoft SharePoint Server 2010
SP2
Microsoft Word Automation Services unter Microsoft SharePoint Server 2013
SP1
Betroffene Plattformen:
Apple Mac OS X
macOS Sierra
Microsoft Windows
Microsoft Windows RT
Mehrere Schwachstellen in Microsoft Office ermöglichen einem entfernten,
nicht authentifizierten Angreifer beliebigen Programmcode mit den Rechten
des angemeldeten Benutzers zur Ausführung zu bringen und, abhängig von
dessen Rechten, möglicherweise die vollständige Kontrolle über das
betroffene System zu erlangen.
Die Schwachstellen betreffen verschiedene Versionen von Office,
Office-Komponenten und -Produkten sowie Office-Diensten und Web Apps auf
Windows-Systemen. Die Schwachstellen CVE-2017-0264 und CVE-2017-0265
betreffen ausschließlich Microsoft PowerPoint for Mac 2011.
Die Ausnutzung der Schwachstellen CVE-2017-0261 und CVE-2017-0262, welche
nach Angaben von Microsoft im begrenzten Umfang stattfindet, wurde bereits
mit den Sicherheitsupdates vom März bzw. dem April Defense-in-Depth Update
mitigiert, indem die Angriffskette durch die Abschaltung des EPS-Filters per
Voreinstellung unterbrochen wurde. Mit dem aktuellen Sicherheitsupdate vom
Mai werden die Schwachstellen in dem unterliegenden Encapsulated PostScript
(EPS)-Filter nun tatsächlich behoben (siehe Referenz anbei).
Patch:
Microsoft Security Update Guide
https://portal.msrc.microsoft.com/de-de/security-guidance
CVE-2017-0255: Schwachstelle in Microsoft SharePoint Server ermöglicht
Cross-Site-Scripting-Angriff
Eine Schwachstelle im SharePoint Server existiert aufgrund unzureichender
Bereinigung speziell präparierter Web-Anfragen. Ein entfernter, einfach
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Cross-Site-Scripting (XSS)-Angriff gegen ein betroffenes System
durchzuführen und Skriptcode im Sicherheitskontext des aktuellen Benutzers
ausführen. Dadurch ist es für den Angreifer möglich Inhalte zu lesen, für
die er keine Berechtigung hat, oder die Identität des Opfers zu verwenden,
um Aktionen in dessen Namen auf dem SharePoint durchzuführen, wie das Ändern
von Dateiberechtigungen, Löschen von Inhalten und Einschleusen von
schädlichen Inhalten in den Browser des Opfers.
CVE-2017-0281: Schwachstelle in Microsoft Office ermöglicht Ausführen
beliebigen Programmcodes
Eine Schwachstelle existiert bei der Behandlung von Objekten im Speicher.
Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, wenn es ihm gelingt einen Benutzer dazu zu verleiten, eine
speziell präparierte Office-Datei mit einer betroffenen Version von
Microsoft Office zu öffnen, um beliebigen Programmcode im Kontext des
Benutzers zur Ausführung zu bringen oder beliebige Aktionen mit denselben
Rechten des aktuellen Benutzers durchzuführen.
CVE-2017-0264 CVE-2017-0265: Schwachstellen in Microsoft Powerpoint
ermöglichen Ausführen beliebigen Programmcodes
Zwei Schwachstellen existieren bei der Behandlung von Objekten in Microsoft
Powerpoint for Mac 2011, wodurch es zu einer Speicherkorruption (Memory
Corruption) kommen kann. Ein entfernter, nicht authentisierter Angreifer
kann diese Schwachstellen ausnutzen, wenn es ihm gelingt einen Benutzer dazu
zu verleiten, eine speziell präparierte Office-Datei mit einer betroffenen
Version von Microsoft Office zu öffnen. Der Angreifer kann dadurch
beliebigen Programmcode im Kontext des Benutzers zur Ausführung zu bringen
oder ein betroffenes System sogar vollständig zu übernehmen, falls der
Benutzer mit Administratorrechten arbeitet. Der Angreifer kann dann
Programme installieren, Daten lesen, verändern oder löschen sowie neue
Benutzerkonten mit vollen Rechten anlegen.
CVE-2017-0261 CVE-2017-0262: Schwachstellen in Microsoft Office ermöglichen
Ausführen beliebigen Programmcodes
Zwei Schwachstellen existieren bei der Verarbeitung schädlich geformter
Grafikdateien in Microsoft Office. Ein entfernter, nicht authentisierter
Angreifer kann diese Schwachstellen mit Hilfe einer speziell präparierten
EPS-Datei eingebettet in einer Office-Datei ausnutzen. Dazu muss der
Angreifer einen Benutzer dazu verleiten, diese Datei mit einer betroffenen
Version von Microsoft Office zu öffnen, um beliebigen Programmcode im
Kontext des Benutzers zur Ausführung zu bringen oder ein betroffenes System
sogar vollständig zu übernehmen, falls der Benutzer mit Administratorrechten
arbeitet.
CVE-2017-0254: Schwachstelle in Microsoft Office ermöglicht Ausführen
beliebigen Programmcodes
Eine Schwachstelle existiert bei der Behandlung von Objekten in Microsoft
Office, wodurch es zu einer Speicherkorruption (Memory Corruption) kommen
kann. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, wenn es ihm gelingt einen Benutzer dazu zu
verleiten, eine speziell präparierte Office-Datei mit einer betroffenen
Version von Microsoft Office zu öffnen, um beliebigen Programmcode im
Kontext des Benutzers zur Ausführung zu bringen oder ein betroffenes System
sogar vollständig zu übernehmen, falls der Benutzer mit Administratorrechten
arbeitet. Der Angreifer kann dann Programme installieren, Daten lesen,
verändern oder löschen sowie neue Benutzerkonten mit vollen Rechten anlegen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0811/
Microsoft Security Update Guide:
https://portal.msrc.microsoft.com/de-de/security-guidance
Microsoft Blog: Coming together to address Encapsulated PostScript (EPS)
attacks:
https://blogs.technet.microsoft.com/msrc/2017/05/09/coming-together-to-address-encapsulated-postscript-eps-attacks/
Microsoft Mai 2017 Sicherheitsupdates:
https://portal.msrc.microsoft.com/de-de/security-guidance/releasenotedetail/bc365363-f51e-e711-80da-000d3a32fc99
Schwachstelle CVE-2017-0254 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0254
Schwachstelle CVE-2017-0255 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0255
Schwachstelle CVE-2017-0261 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0261
Schwachstelle CVE-2017-0262 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0262
Schwachstelle CVE-2017-0264 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0264
Schwachstelle CVE-2017-0265 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0265
Schwachstelle CVE-2017-0281 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-0281
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
