Heute Vormittag geisterte plötzlich die Meldung über eine Zero-Day-Sicherheitslücke in Microsoft Word durch alle Medien. Zur Zeit steht nur ein Workaround zur Verfügung, aber Microsoft will in Kürze mit einem sogenannten Emergency Security Patch nachlegen. Das macht die Dringlichkeit deutlich, da der Konzern normalerweise auf seine wohlbekannten Patch Tuesdays zurückgreift, um neue Programme und Patches auszurollen. Oftmals ist diese Maßnahme auch ein Zeichen dafür, dass Hacker bereits einen Exploit zur Hand haben und diesen aktiv für Attacken nutzen.
Die von Microsoft zur Verfügung gestellte Beschreibung der Sicherheitslücke erinnert frappierend an zwei wohl bekannte Word-Exploits, die in den letzten Jahren immer wieder von Hackern ausgenutzt wurden. Bei den SophosLabs gibt es dazu sogar ein White Paper, das die historische Entwicklung dieser Attacken, die speziell hergestellte RTF-Dateien für ihre Angriffe nutzen, untersucht. Dabei trat ein interessantes Phänomen zu Tage: die 2010 und 2012 entdeckten Exploits wurden ursprünglich nahezu ausnahmslos für geheimdienstliche Sammelaktivitäten genutzt. Vermutlich über bezahlte Hacker, die nationale oder Industriespionage durchführten. Aber im letzten Jahr hat sich dieser Ansatz weiterentwickelt und die Exploits werden immer häufiger in einem allgemeineren Zusammenhang angewendet, um mit Botnetzen Geld zu machen.
Warten Sie also nicht, bis der aktuelle Exploit dementsprechend für Wirbel auf ihrem Rechner sorgt und entschärfen sie die Lücke so schnell wie möglich! In diesem Zusammenhang sollte außerdem gecheckt werden, ob die Patches CVE-2010-3333 und CVE-2012-0158 installiert sind. Der Fakt, dass Hacker immer noch sehr viele Angriffe über diese eigentlich recht alten Lücken fahren, legt nahe, dass viele Systeme ohne diese Fixes laufen.
Zugleich können Sie die Gefahr, zukünftigen RTF-Attacken schutzlos ausgeliefert zu sein, mit den folgenden Tipps wirkungsvoll eindämmen:
1) RTFs bereits am Gateway blockieren
Wenn Sie RTF-Dateien selten oder nie in Emails erwarten, sollten Sie überlegen, diesen Dateityp am Gateway automatisch zu blockieren oder in Quarantäne zu verschieben.
2) RTFs nicht mehr mit Word öffnen lassen
Wenn Sie RTF-Dateien nur sehr selten nutzen, können Sie Microsofts Fix it anwenden und damit Words Fähigkeit, RTFs zu öffnen, deaktivieren.
3) Nutzung von Microsoft EMET
Die Verwendung von Microsofts Enhanced Mitigation Experience Toolkit (EMET) ermöglicht das Sandboxing von Microsoft Office und kann Exploits aufdecken.
4) Verwendung von Plain Text in Emails
Dieser Tipp macht das Lesen von manchen Emails zwar schwieriger, limitiert aber auch das Risiko versteckter Malware-Inhalten erheblich.
Sophos-Produkte erkennen Angriffe auf die Word-Lücke übrigens unter dem Namen Exp/20141761-A.
Antwort hinterlassen