?>
Neue Zero-Day-Schwachstelle
Author
Maren Keller, Mi, 19. Jul. 2023
 in Aktuelles

Neue Zero-Day-Schwachstelle

Microsoft gibt Ausnutzung bekannt – Patch lässt auf sich warten

Das BSI warnt vor einer schweren Sicherheitslücke in Microsoft Office. Die Zero-Day-Schwachstelle mit der Nummer CVE-2023-36884 wird bereits ausgenutzt, einen Patch gibt es noch nicht.

Was die Sicherheitslücke für Sie bedeutet und wie Sie sich schützen können, erfahren Sie bei uns.

Schwere Zero-Day-Schwachstelle

Hersteller Microsoft hat eine Zero-Day-Schwachstelle in der Office-Suite bekanntgegeben, einen Sicherheitspatch gibt es noch nicht. Diese Schwachstelle wird bereits aktiv ausgenutzt. Die Sicherheitslücke wurde nach den Common Vulnerabilities and Exposures unter der Nummer CVE-2023-36884 veröffentlicht und mit einem CVSS-Score von 8.3 („hoch“) bewertet.

Der CVSS-Score ist das Common Vulnerability Scoring System. Dabei handelt es sich um einen Standard zur Bewertung des Schweregrades von Sicherheitslücken in Computersystemen. Die Schweregrad-Einteilung geht von „Kein“ über „Niedrig“, „Mittel“ und „Hoch“ bis hin zu „Kritisch“. Die aktuelle Lücke in der Office-Suite hat demnach den zweithöchsten Schweregrad und wird von Microsoft selbst als „wichtig“ eingestuft.

Da die Lücke bekannt ist, sollten Admins entsprechende Systeme so schnell wie möglich schützen! Betroffen sind alle aktuellen Windows- und Office-Versionen bis Windows 11, Windows Server 2022 und Microsoft Office 2021. Auch die Microsoft 365-Apps sind betroffen, hier vor allem die Versionen 2208 und 2202. Ab Version 2302 soll die Lücke in den Microsoft 365-Apps nicht mehr vorhanden sein.

Zero-Day-Sxhwachstelle: Schattenbildfoto einer Person, die zum Türknauf greift, Schlüssel steckt im Schloss. Bild: Pexels/@eye4dtail

Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke, für die es keinen Patch gibt. Für Kriminelle bedeutet das: Herein spaziert! Bild: Pexels/@eye4dtail

Folgen der Zero-Day-Schwachstelle

Ein Zero-Day-Exploit (auch Zero-Day-Lücke oder Zero-Day-Schwachstelle genannt) ist eine Sicherheitslücke in Hard-, Firm- oder Software, die bekannt ist, für die es aber noch keinen Sicherheitspatch gibt. Somit haben Kriminelle die Möglichkeit, die Lücke ohne größere Probleme zu überwinden. Für Hersteller haben Zero-Day-Lücken deshalb oftmals oberste Priorität.

Auch die neue von Microsoft bekannt gegebenen Lücke CVE-2023-36884 in Office wird bereits von Kriminellen ausgenutzt. Und zwar folgendermaßen: Trifft ein Office-Dokument mit Schadcode im Netzwerk ein, kann der Angreifer die Lücke nutzen, um beispielsweise Ransomware herunterzuladen, Erpressertrojaner beispielsweise. Auch eine Phishing-Kampagne dient zum Ausnutzen der Sicherheitslücke.

Betroffen sind dann allerdings nicht nur Computer mit Office, sondern auch alle anderen Computer, die sich in dem Netzwerk befinden. Letztlich findet sich die Lücke auch in WordPad, was in allen Windows-Versionen installiert ist. Da es noch keinen Patch gibt, hat das BSI Maßnahmen genannt, mit denen Sie sich schützen können.

Maßnahmen zum Schutz

Das BSI empfiehlt folgende Migrationsmaßnahmen, um einen Ausnutzung der Schwachstelle CVE-2023-36884 zu verhindern. Entweder können Admins

  • allen Microsoft-Office-Anwendungen das Erstellen von Child-Prozessen über die „Attack Surface Reduction (ASR)“-Regeln verbieten oder
  • unter dem Registry-Schlüssel  KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION neue DWORD-Werte mit den folgenden Namen der Office-Programmdateien anlegen und jeweils auf 1 setzen:
    • Excel.exe
    • Graph.exe
    • MSAccess.exe
    • MSPub.exe
    • Powerpnt.exe
    • Visio.exe
    • WinProj.exe
    • WinWord.exe
    • Wordpad.exe

Microsoft bestätigt, dass es nach dem Setzen der genannten Registry-Werte zu Einschränkungen bei speziellen Nutzungsszenarien kommen kann – diese Einschränkungen sind aber wesentlich geringer zu gewichten als die Sicherheitslücke an sich.

Eine weitere Maßnahme ist die regelmäßige Prüfung, ob Microsoft einen Patch veröffentlicht hat. Sobald der installiert wurde, können die Registry-Werte wieder in den Ausgangszustand gesetzt werden. Wird das Produkt Microsoft Defender for Office 365 verwendet, verhindert dieses laut Microsoft bereits eine Ausnutzung der Schwachstelle durch präparierte Dokumente.

Zero-Day-Schwachstelle: Person hält geöffneten Laptop mit dem Schriftzug „You've been hacked“ in den Händen. Bild: Pexels/@saksham-choudhary-109710

Damit es für Sie nicht heißt: „You’ve been hacked“, sollten Sie schnellstens die empfohlenen Maßnahmen ergreifen. Bild: Pexels/@saksham-choudhary-109710

Schutz vor Zero-Day-Lücke

Laut Microsoft nutzt vor allem die russische Hackergruppe Storm-0978, auch als Dev-0978 und RomCom bekannt, die Zero-Day-Schwachstelle aus. Die Hackergruppe ist vor allem in den Bereichen Spionage- und Ransomware-Attacken aktiv. Besonders betroffen sind nach ersten Erkenntnissen die Telekommunikations- und Finanzbranche. Letztlich kann die Hackergruppe Storm-0978 aber jedes Unternehmen angreifen, das die gefährdeten Office-Produkte einsetzt.

Damit Ihr Unternehmen nicht zum Opfer der Hackergruppe wird, sollten Sie Ihre Mitarbeiter warnen, Anwendungen von unbekannten Quellen herunterzuladen oder unerwartete Dokumente als Anhänge in E-Mails zu öffnen. Sinn machen für den dauerhaften Schutz zudem Awareness-Schulungen. Und wenn Sie das Patch-Management in die erfahrenen Hände von PC-SPEZIALIST abgeben, verpassen Sie auf keinen Fall das Update, das diese schwere Lücke schließt. Nehmen Sie Kontakt zu uns auf!

_______________________________________________

Quellen: bsi, security-insider

, ,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare

    Das könnte Sie auch interessieren