Relevant für Sie, wenn: Sie mit Microsoft Office Word arbeiten 

Handlungsdringlichkeit: AKUT

(TL) Wie das Nachrichtenportal „heise online“ berichtete (Zero Day Lücke in Microsoft Office erlaubt Codeschmuggel), haben Sicherheitsforscher eine Zero-Day-Sicherheitslücke in Microsoft Word entdeckt. Um die Sicherheitslücke auszunutzen, müssen Angreifer einen „Exploit“ kreieren (oder einen bereits erstellten kaufen) um damit die Schwachstelle auszunutzen. Mit dem Exploit werden im vorliegenden Fall Word Dateien präpariert, die beim Öffnen des Word Dokuments Schadcode aus dem Internet nachladen.

Der Schadcode wird nicht bereits bei Erhalt der Mail nachgeladen. Die Word Datei muss aktiv geöffnet werden und anschließend die geschützte Ansicht verlassen werden. Von Antiviruslösungen wird das Dokument im Übrigen nicht als schädlich erkannt, da der Schadcode erst im Nachhinein nachgeladen wird.

Zwar konnte bei durchgeführten Tests die Schwachstelle bei den Office Paketen aus dem Insider-Channel sowie der aktuellen Version nicht ausgenutzt werden, die Möglichkeit, dass es dennoch gelingen kann, ist damit jedoch nicht ausgeschlossen.

Empfehlungen

Um einen Angriff zu verhindern können die folgenden Schritte ergriffen werden:

  • Durchführung eines Plausibilitätstests

Vor dem Öffnen extern erhaltener Dokumente sollte ein Plausibilitätstest durchgeführt werden. Genauer: „Wie plausibel ist es, dass mir ein Word Dokument zugeschickt wird und ich dieses in einer ungeschützten Ansicht öffnen muss?“ Im Zweifelsfall sollte mit dem Absender der Nachricht Rücksprache gehalten werden.

  • Hinweis auf Social-Engineering

Ferner sei auf das Risiko des Social-Engineerings hingewiesen. Angreifer könnten versuchen Druck aufzubauen, indem die Wichtigkeit der Bearbeitung in den Vordergrund gestellt wird, um damit die Deaktivierung der geschützten Ansicht herbeizuführen. Lassen Sie sich an dieser Stelle nicht von Ihrem Ergebnis der Plausibilitätsprüfung abbringen.

  • Hinweis an IT-Administratoren herausgeben

IT-Administratoren sollten darauf hingewiesen werden, dass bekannte Sicherheitsmaßnahmen ergriffen werden sollten und die Netzwerke etwas genauer auf unübliche Aktivitäten untersucht werden sollten.

  • Auf aktuelle Produkte umsteigen

Wenn möglich, sollten Administratoren auf die aktuellen Microsoft Produkte umsteigen. Zwar ist das Risiko bei diesen nicht gänzlich ausgeschlossen, aber dennoch als deutlich geringer einzustufen (s.o.).