Hacker greifen Zero-Day-Lücke in Microsoft Word an

Die Sicherheitsanbieter McAfee und FireEye warnen vor einer Zero-Day-Lücke in Microsoft Word, die bereits aktiv für zielgerichtete Angriffe ausgenutzt wird. Angreifer können unter Umständen Schadcode einschleusen und auch auf vollständig gepatchten Systemen ausführen. Die Schwachstelle ist besonders gefährlich, weil sie nicht auf die Aktivierung von Makros angewiesen ist – es fehlt also ein Hinweis, der Nutzer bei vielen Attacken mit Word-Dokumenten vor einer Infizierung ihres Systems mit Malware schützen kann.

Die Anfälligkeit steckt in der Funktion Windows Object Linking and Embedding (Windows OLE). Sie erlaubt es Anwendungen, Inhalte in andere Dokumente einzubetten. Benutzt wird sie in erster Linie von den Office-Anwendungen sowie dem in Windows enthaltenen Editor WordPad.

Ein speziell präpariertes Dokument im Rich Text Format (RTF) mit DOC-Dateiendung kann die Anfälligkeit ausnutzen. Wird es beispielsweise mit Word geöffnet, lädt die Textverarbeitung eine gefährliche HTML-Anwendung herunter, die wiederum im Hintergrund ein Skript ausführt, das für die Installation von Schadsoftware benutzt werden kann. Laut McAfee kann ein Angreifer beliebigen Code ausführen, ohne das speichbasierte Sicherheitsfunktionen wie ASLR vor dem Angriff schützen können.

Von der Schwachstelle betroffen sind alle Office-Versionen bis hin zu Office 2016 unter Windows 10. Exploits sind offenbar schon seit Ende Januar im Umlauf.

FireEye zufolge ist Microsoft über die Zero-Day-Lücke informiert worden. Sie sollte ursprünglich bis zur Bereitstellung eines Patches unter Verschluss bleiben. „Nach der Veröffentlichung durch ein anderes Unternehmen dient dieser Blogbeitrag als Bestätigung dafür, dass FireEye diese Attacken bekannt sind“, schreibt Sicherheitsforscher Genwei Jiang im FireEye-Blog. Ob mit dem anderen Unternehmen McAfee gemeint ist, das Details zu der Schwachstelle einen Tag vor FireEye öffentlich gemacht hat, ist nicht bekannt.

Unklar ist auch, ob Microsoft bereits einen Patch entwickelt hat. In dem Fall könnte der Fix bereits morgen Abend im Rahmen des April-Patchdays zur Verfügung stehen. Da die Anfälligkeit laut FireEye nahezu alle Windows-Sicherheitsfunktionen umgeht, rät das Unternehmen, den zu erwartenden Fix so schnell wie möglich zu installieren. Bis dahin empfiehlt McAfee, keine Office-Dateien aus unbekannten Quellen zu öffnen und zudem die geschützte Ansicht in Office zu aktivieren.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.