Zero-Day-Lücke in Grafikkomponente von Windows und Office

Originalartikel von Gelo Abendan, Technical Communications

Microsoft warnt vor einer nicht gepatchten Schwachstelle, die bereits missbraucht und in zielgerichteten Angriffen in bestimmten Ländern eingesetzt wird. Der Exploit nutzt eine bislang unbekannte Lücke in Microsoft Office 2003, 2007 und 2010 sowie in Windows XP und Server 2003 aus.
Die Sicherheitslücke entsteht durch die Art und Weise, wie ältere Versionen von Office- und Windows-Grafikkomponenten TIFF-Images verarbeiten (CVE-2013-3906). Die Angreifer betten eine DOC-Datei in eine bösartige TIFF-Datei ein und verführen Anwender über Social Engineering-Taktiken dazu, eine E-Mail mit einem bösartigen Anhang zu öffnen oder eine Webseite mit dem Exploit zu besuchen. Geht die kriminelle Taktik auf, so erlangen die Angreifer dieselben Kontoberechtigungen wie das Opfer. Das bedeutet, dass Nutzerkonten mit begrenzten Privilegien nicht betroffen sind.

Diese Zero-Day-Angriffe wurden ursprünglich vor allem in Ländern des Mittleren Ostens und in Südasien entdeckt. Doch ist es wohl bloß eine Frage der Zeit, bis die Angriffe auch andere Länder erreichen. Deshalb müssen Anwender ein grundlegendes Verständnis für Social Engineering und die darauf beruhenden Taktiken der Angreifer aufbauen. Informationen dazu, wie Unternehmen ihre Infrastruktur vor zielgerichteten Angriffen schützen können, gibt es hier.

Nur ältere Versionen der Software sind von der Bedrohung betroffen. Und es ist nicht das erste Mal, dass ältere Softwareversionen für diese Art von Angriffen anfällig sind. Man denke beispielsweise an den Java 6 Zero-Day-Vorfall im August. Im aktuellen Fall werden jedoch Patches zur Verfügung gestellt. Dennoch sollten Nutzer und Administratoren ihre Software immer auf dem neuesten Stand halten.

Microsoft hat ein Fix-it Tool für eine Übergangslösung herausgebracht. Trend Micro Deep Security schützt die Anwender vor dieser Bedrohung mit den folgenden Regeln:

  • 1005764 – Microsoft Graphics Component Remote Code Execution Vulnerability (CVE-2013-3906)
  • 1005765 – Identified Microsoft Office File With Embedded TIFF File

Auch hat Trend Micro mehrere Websites blockiert, die in Zusammenhang mit dem Angriff stehen. Die analysierten Muster des Exploits zeigen, dass es sich um die Schädlinge TROJ_ACTIFF.A und TROJ_ACTIFF.B handelt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*