Interessante Vergangenheit der aktuellen Word-Zero-Day-Sicherheitslücke
Sophos: Tipps gegen Word-RTF-Attacken
Seit dieser Woche geisterte plötzlich die Meldung über eine Zero-Day-Sicherheitslücke in Microsoft Word durch alle Medien. Nachdem zurzeit nur ein Workaround zur Verfügung steht, will Microsoft in Kürze mit einem sogenannten Emergency Security Patch nachlegen. Dies macht die Dringlichkeit deutlich, da der Konzern normalerweise auf seine wohlbekannten Patch Tuesdays zurückgreift, um neue Programme und Patches zu verbreiten. Oft ist diese Maßnahme auch ein Zeichen dafür, dass Hacker bereits ein Exploit zur Hand haben und dieses aktiv für Attacken nutzen.
Die von Microsoft zur Verfügung gestellte Beschreibung der Sicherheitslücke erinnert frappierend an zwei wohlbekannte Word-Exploits, die in den letzten Jahren immer wieder von Hackern ausgenutzt wurden. Bei den Sophos Labs gibt es dazu ein White Paper (nakedsecurity.sophos.com/advanced-persistent-threats-the-new-normal/), das die historische Entwicklung dieser Attacken, die speziell hergestellte RTF-Dateien für ihre Angriffe nutzen, untersucht.
Dabei trat ein interessantes Phänomen zutage: Die 2010 und 2012 entdeckten Exploits wurden ursprünglich nahezu ausnahmslos für geheimdienstliche Sammelaktivitäten genutzt, laut Sophos vermutlich über bezahlte Hacker, die nationale oder Industriespionage durchführten. Im vergangenen Jahr habe sich dieser Ansatz jedoch weiterentwickelt, und die Exploits werden immer häufiger in einem allgemeineren Zusammenhang angewendet, um mit Bot-Netzen Geld zu verdienen.
Sophos-Labs-Experte Paul Ducklin rät: Warten Sie nicht, bis das aktuelle Exploit für Wirbel auf ihrem Rechner sorgt, und entschärfen Sie das Problem so schnell wie möglich. In diesem Zusammenhang sollte außerdem gecheckt werden, ob die Patches CVE-2010-3333 (technet.microsoft.com/en-us/security/bulletin/ms10-087) und CVE-2012-0158 (technet.microsoft.com/en-us/security/bulletin/ms12-060) installiert sind. Der Fakt, dass Hacker immer noch sehr viele Angriffe über diese eigentlich recht alten Lücken fahren, lege nahe, dass viele Systeme ohne diese Fixes laufen.
Zugleich lässt sich die Gefahr, künftigen RTF-Attacken schutzlos ausgeliefert zu sein, mit den folgenden Tipps wirkungsvoll eindämmen:
1. RTFs bereits am Gateway blockieren
Wenn Sie RTF-Dateien selten oder nie in E-Mails erwarten, sollten Sie überlegen, diesen Dateityp am Gateway automatisch zu blockieren oder in Quarantäne zu verschieben.
2. RTFs nicht mehr mit Word öffnen lassen
Wenn Sie RTF-Dateien nur sehr selten nutzen, können Sie Microsofts „“Fix it““ (support.microsoft.com/kb/2953095) anwenden und damit Words Fähigkeit, RTFs zu öffnen, deaktivieren.
3. Nutzung von Microsoft EMET
Die Verwendung von Microsofts Enhanced Mitigation Experience Toolkit (EMET) ermöglicht das Sandboxing von Microsoft Office und kann Exploits aufdecken.
4. Verwendung von Plain-Text in E-Mails
Dieser Tipp macht das Lesen von manchen E-Mails zwar schwieriger, limitiert aber auch das Risiko versteckter Malware-Inhalte erheblich.
Sophos-Produkte erkennen laut Ducklin Angriffe auf die Word-Sicherheitslücke übrigens unter dem Namen Exp/20141761-A (www.sophos.com/en-us/threat-center/threat-analyses/vulnerabilities/VET-000590.aspx).
Lesen Sie mehr zum Thema
