Vor kurzem entdeckten Forscher die Sicherheitslücke CVE-2017-11882 in Microsoft Office. Microsoft handelte entsprechend schnell und schloss die Schwachstelle mit einem Sicherheitsupdate. Durch die Veröffentlichung des Exploits wurden nun jedoch Angreifer auf die Lücke aufmerksam und versuchen nun, diese auf noch nicht gepatchten Systemen auszunutzen.

 

Von der Sicherheitslücke sind alle Office Versionen betroffen. Der Exploit im Equation Editor von Microsoft, einer alten Version des Formeleditors, nutzt einen Pufferüberlauf, der es dem Angreifer ermöglicht, beliebigen Code auf dem System des Benutzers auszuführen. Dadurch ist es beispielsweise möglich, eine Schadsoftware aus dem Internet herunterzuladen und auszuführen.

 

Schwachstelle besteht seit 17 Jahren

 

Der Equation Editor wurde 2000 kompiliert und seitdem nicht generalüberholt. Dadurch entspricht er nicht den aktuellen Sicherheitsvorkehrungen und macht die Ausnutzung von Pufferüberläufen erst möglich. Auch wenn der Formeleditor in Office 2007 ersetzt wurde, wurde er noch mitgeliefert, um die Abwärtskompatibilität zu älteren Dokumenten zu gewährleisten, bei denen das 17 Jahre alte Programm zum Anzeigen und Bearbeiten von mathematischen Formeln dient.

 

Öffnet ein User ein Dokument, das den Exploit nutzt, ist keine weitere Interaktion mehr notwendig, um den Schadcode auszuführen. Nur die geschützte Ansicht, die Sandbox der Office-Programme, verhindert noch die Ausführung.

 

Hornetsecurity erkennt Exploit in Dokumenten

 

Seitdem die Sicherheitslücke bekannt geworden ist, versuchen Angreifer vermehrt, schädliche Office-Dokumente zu verteilen, die den Exploit verwenden. Hornetsecurity hat die Filter entsprechend angepasst, sodass diese Dokumente direkt erkannt und gefiltert werden, bevor sie im E-Mail-Postfach landen. Dennoch raten wir dazu, das Sicherheitsupdate möglichst bald durchzuführen.