Grafik-Lücke

Zero-Day-Attacken mit präparierten Word-Dateien

Bei Angriffen per Mail wird eine neu entdeckte Sicherheitslücke in Windows und Office ausgenutzt. Microsoft hat ein Fix-it-Tool zum Download bereit gestellt.

Grafik-Lücke in Word: Angreifer nutzen Schwachstellen in Office und mehr aus.

© Frank Ziemann

Grafik-Lücke in Word: Angreifer nutzen Schwachstellen in Office und mehr aus.

In der Grafikschnittstelle GDI+ ist eine Sicherheitslücke entdeckt worden, die bereits für gezielte Angriffe genutzt wird. Microsoft meldet, dass Angriffe auf bestimmte Personen bislang vor allem im Nahen Osten und in Südasien festgestellt worden sind. Die Angreifer versenden Word-Dateien per Mail, in denen ein speziell präpariertes TIFF-Bild steckt. Wird die Word-Datei auf einem anfälligen System geöffnet, kann eingeschleuster Code mit den Rechten des angemeldeten Benutzers ausgeführt werden.

Microsoft hat die Sicherheitsempfehlung 2896666 veröffentlicht, in der die anfällige Software aufgeführt ist. Betroffen sind demnach Windows Vista und Server 2008, Microsoft Office 2003 bis 2010 sowie alle Versionen des Kommunikationsprogramms Lync. Tatsächlich ist es ein wenig komplizierter, wie Dustin Childs im Microsoft Security Response Center Blog erläutert. Das liegt daran, in welcher Software die anfällige Grafikschnittstelle steckt.

Office 2003 und 2007 sind unabhängig von der Windows-Version anfällig, Office 2010 nur unter Windows XP und Server 2003, Office 2013 gar nicht. Windows Vista und Server 2008 sind anfällig, andere Windows-Versionen nur in Kombination mit einer anfälligen Office-Version oder Lync. Lync ist anfällig, egal unter welcher Windows-Version.

Tatsächliche Angriffe sind Microsoft bislang nur auf Office 2007 bekannt. Diese galten Rechnern mit Windows XP. Angriffe, die direkt auf Windows oder Lync zielen, sind bislang nicht bekannt, aber möglich. Microsoft hat eine Fix-it-Lösung bereit gestellt, die den genutzten Angriffsvektor blockiert. Das Fix-it Tool deaktiviert den TIFF-Codec, denn die Angreifer verwenden präparierte TIFF-Bilder, um Code einzuschleusen. Als weitere Sicherheitsmaßnahme empfiehlt Microsoft das Enhanced Mitigation Experience Toolkit (EMET), das in der Version 4.0 bereits so konfiguriert ist, dass es die betroffene Software abschirmt.

An einem umfassenden Sicherheits-Update, das die eigentliche Schwachstelle in GDI+ beseitigen soll, arbeitet Microsoft zurzeit. Der nächste Patch Day (November) ist bereits am kommenden Dienstag. Bis dahin wird dieses Update noch nicht zur Verfügung stehen, so viel hat Dustin Childs im MSRC Blog bereits klargestellt.