19 November 2017

Ein Microsoft Office Fehler installiert ohne Benutzerinteraktion Malware

Forscher haben ein schwerwiegendes Problem in einer Microsoft Office-Komponente aufgedeckt. Dies ermöglicht Angreifer, Malware auf einem Zielcomputer Remote zu installieren.
Die Sicherheitsanfälligkeit ist ein Speicher Problem, dass in allen Versionen von Microsoft Office, einschließlich Microsoft Office 365 enthalten ist.
Die von den Sicherheitsforschern entdeckte Sicherheitslücke führt zur Remote-Codeausführung,
die es einem nicht authentifizierten Angreifer ermöglicht, bösartigen Programm Code auf einem Zielsystem auszuführen. Dazu muss ein Windows Benutzer noch nicht mal eine Interaktion starten.

Die als CVE-2017-11882 identifizierte Sicherheitsanfälligkeit liegt in der EQNEDT32.EXE, einer MS Office-Komponente, die für das Einfügen und Bearbeiten von Gleichungen in Dokumenten zuständig ist.

Aufgrund der unsachgemäßen Operationen verarbeitet die Komponente jedoch Objekte im Speicher nicht ordnungsgemäß und beschädigt diese so, dass der Angreifer im Kontext des angemeldeten Windows Benutzers schädlichen Programm Code starten kann.

Vor siebzehn Jahren wurde das File EQNEDT32.EXE in Microsoft Office 2000 eingeführt und in allen nachfolgenden Microsoft Office Versionen beibehalten und veröffentlicht. Der Grund hierfür ist sicherzustellen, dass die MS Office Software mit Dokumenten älterer Versionen kompatibel bleibt.

DEMO: Vollständige Systemübernahme

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

YouTube immer entsperren

Die Ausnutzung dieses Sicherheitsrisikos erfordert das Öffnen eines speziell bösartigen Programm Codes zusammen mit einer betroffenen Version von Microsoft Office oder WordPad.

Diese Sicherheitsanfälligkeit kann ausgenutzt werden, um die vollständige Kontrolle über ein System zu erlangen, wenn sie mit einem Exploit von Windows-Kernel-Eskalationen (wie CVE-2017-11847) kombiniert wird.

Wie kann ich mich vor dieser Sicherheitsanfälligkeit schützen?

Mit der Patch-Version von diesem Monats hat Microsoft diese Sicherheitsanfälligkeit behoben.
Daher wird den Windows Nutzern dringend empfohlen, so schnell wie möglich die November-Sicherheits-Patches zu installieren, um Hacker und Cyberkriminelle davon abzuhalten, die Kontrolle über ihren Windows Computer zu übernehmen.

Da diese Komponente eine Reihe von Sicherheitsproblemen aufweist, die leicht ausgenutzt werden können, kann das Deaktivieren der Komponente der beste Weg sein, um die Systemsicherheit zu gewährleisten.

Komponente Abschalten x64 Bit Version

Benutzer können mit folgendem Befehl in der Eingabeaufforderung die Registerdaten der folgenden Komponente in der Windows-Registrierung versuchen abzuschalten.
reg “HKLM SOFTWARE Microsoft Office Common COM-Kompatibilität {0002CE02-0000-0000-C000-000000000046}” / v “Kompatibilitätsflags” / t REG_DWORD / d 0x400
Komponente Abschalten x32 Bit Version

Benutzer können mit folgendem Befehl in der Eingabeaufforderung die Registerdaten der folgenden Komponente in der Windows-Registrierung versuchen abzuschalten.
Führen Sie für 32-Bit-Microsoft Office-Paket folgenden Befehl aus:
reg “HKLM SOFTWARE Wow6432Node Microsoft Office Common COM-Kompatibilität {0002CE02-0000-0000-C000-000000000046}” / v “Kompatibilitätsflags” / t REG_DWORD / d 0x400

Außerdem sollten Windows Benutzer die geschützte Ansicht (Microsoft Office Sandbox) aktivieren, um das Ausführung aktiver Inhalte (OLE / ActiveX / Macro) zu verhindern.