Fiese Sicherheitslücke bei Microsoft Office
Microsoft meldet eine Sicherheitslücke, die mittels manipulierter Office-Dateien aktiv als Einfallstor für Angriffe genutzt wird. Das Perfide: Der Angriff ist extrem einfach und erfordert keine besonders große Unaufmerksamkeit des Users um erfolgreich zu sein.
Profis finden die Detailbeschreibung unter dem kryptischen Titel “MSHTML Remote Code Execution Vulnerability” bei Microsoft; wem das nichts sagt, der kann sich an die einfache Zusammenfassung halten:
Angriffsweg und -wirkung
Der User erhält auf einem beliebigen Weg ein manipuliertes Office-Dokument, das versucht ein ActiveX-Element zu installieren. Dies sind normalerweise legitime Erweiterungen, die zwar selten bis nie verwendet werden aber dennoch bei den meisten Computern nicht per se gesperrt sind. Je nach Systemeinstellung ist der User nur einen Klick auf “ja” von der Infektion weg oder er muss sogar gar nichts tun.
Da es aktuell noch keinen Patch von Microsoft gibt, empfiehlt der Hersteller, das Installieren von ActiveX-Elementen einfach global zu unterbinden. Bereits installierte Elemente sind davon nicht betroffen, neue Installationen werden aber verhindert.
Notfallpatch
Auf jedem Computer, der ein Office-Paket nutzt (egal welche Version - besonders aber bei den Mutigen, die immer noch mit längst nicht mehr supporteten Paketen unterwegs sind) muss ein Registry-Patch eingespielt werden. Dies sollte auch auf Servern erfolgen, die ein Office-Paket installiert haben (also z.B. häufig Terminal-Server).
Der Patch ist schnell erstellt:
Mit dem Windows-Text-Editor wird eine Datei mit dem folgenden Inhalt erstellt.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003
Die Datei wird gespeichert und in z.B. “ActiveX.reg” umbenannt - dabei ist die Endung “.reg” wesentlich; der Rest des Namens kann frei gewählt werden.
Diese Datei wird nun von einem User mit Administratorrechten auf dem betreffenden System ausgeführt und die anschließende Sicherheitswarnung bestätigt. Wer ganz sicher gehen will, dass nicht ggf. gerade geöffnete Komponenten die Änderung nicht mitbekommen haben, bootet einmal neu.
Damit ist die Installation von ActiveX-Elementen gesperrt und ein Angriff bleibt wirkungslos.
In Domänen-Umgebungen lässt sich das Ganze natürlich auch einfach über eine Gruppenrichtlinie verteilen.