Schwachstelle der Office Web Component ActiveX folgt dem Beispiel des MPEG2 Tune Request

Original Artikel von Det Caraig (Technical Communications, Trend Micro)

Nur wenige Tage nach der letzten Zero-Day-Schwachstelle von Microsoft kommt schon die nächste Bedrohung. Dieses Mal werden die Schwachstellen des ActiveX-Steuerelements für Tabellenkalkulation in Office Webkomponenten des Betriebssystems angegriffen (OWC 10 und OWC 11). Als ob sich die Cyber-Kriminellen mit Microsoft abgesprochen hätten, haben sie am Patch Day (am zweiten Dienstag eines Monats) ebenfalls ihre eigenen „Updates“ für diesen Angriff herausgebracht.

„Diese Schwachstelle kann zur Remote-Ausführung von Code in einem „Browse-and-get-owned“-Szenario verwendet werden“, so Microsoft, „beinhaltet aber dennoch Benutzerinteraktion, da er die bösartige Website mit der Schwachstelle besuchen muss, um sich zu infizieren.“ Benutzer müssen sich jedoch keine Sorgen machen, da Microsoft eine Empfehlung mit weiteren Informationen über diese Schwachstelle herausgegeben hat. Es wurden außerdem Informationen veröffentlicht, wie Benutzer in einem Blog berichten können, ob ihre Systeme anfällig für diesen Angriff sind.

Laut Ivan Macalintal, Trend Micro Research Manager, nutzt die Sicherheitslücke anscheinend die so genannte „Script Fragmentation“ – die gleiche Taktik, die in einer früheren, webbasierten Zero-Day-Masseninfektion angewendet wurde. Er fügt hinzu, dass nicht alle Teile des bösartigen Skripts automatisch auch bösartig sind. In Kombination kann das Ergebnis – eine voll funktionsfähige Schwachstelle – jedoch verheerend sein.

Benutzer, die bösartige Sites mit einem unzureichend geschütztem Internet Explorer öffnen, laufen Gefahr, sich automatisch zu infizieren. Das Java-Skript, das als JS_SHELLCODE.BH entdeckt wird, wird automatisch in ungeschützten Browsern ausgeführt, es sei denn, das ActiveX-Steuerelement ist deaktivert. „Sobald das Skript ausgeführt wird“, so Jessa De La Torre, Threat Analyst bei Trend Micro, „wird der Trojaner TROJ_DLOADR.DOF heruntergeladen, der das Rootkit (TROJ_ROOTKIT.DOF) ablegt. Anschließend werden die Trojaner TROJ_DLOADR.UIG und TROJ_INJECT.AKI heruntergeladen. TROJ_DLOADR.UIG lädt ungefähr einhundert Dateien von einem bestimmten Link herunter, wodurch das Risiko einer Malware-Infektion drastisch steigt.“

Klicken

Die Malware beeinträchtigt gängige Microsoft Anwendungen, insbesondere Microsoft Office XP Service Pack 3 und Microsoft Office 2003 Service Pack 3.

Um Benutzer vor dieser Bedrohung zu schützen, hat Microsoft einen Workaround entwickelt, bis die neuen Patches am Patch Day veröffentlicht werden. Auf der Seite gibt es auch einen Link, so dass Benutzer den Workaround direkt anwenden können.

Bedrohnungsanalytiker von Trend Micro haben Berichte über diese Sicherheitslücken erhalten und analysieren zurzeit die Beispiele. Benutzer von Trend Micro Produkten müssen sich aber keine Sorgen machen, denn diese Bedrohung wurde bereits durch das Smart Protection Network gesperrt.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>