MS Office Schwachstellen

Check Point entdeckt Fuzzing-Schwachstellen in Microsoft Office

, San Carlos, Check Point | Autor: Herbert Wieler

Check Point entdeckt Fuzzing-Schwachstellen in Microsoft Office

Schwachstellen gehen auf veralteten Code zurück

Laut der Sicherheitsforscher sind Produkte der Office-Suite betroffen, darunter Excel und Word. Die Schwachstellen gehen auf veralteten Code zurück und eröffnen Angreifern die Möglichkeit, schädliche Befehlszeilen über versuchte Office-Dokumente auszuführen.

Check Point Research entdeckte die Schwachstellen durch Fuzzing von MSGraph , einer Komponente, die in Microsoft-Office-Produkte eingebettet werden kann, um Graphen und Diagramme anzuzeigen. Fuzzing ist eine automatisierte Software-Testtechnik, die versucht, Software-Bugs zu finden, indem sie zufällig ungültige und unerwartete Dateneingaben in ein Programm einspeist, um Fehler im Code und Sicherheitslücken aufzustöbern. Mit Hilfe dieser Technik entdeckte CPR verwundbare Funktionen innerhalb von MSGraph. Ähnliche Code-Prüfungen bestätigten, dass die anfällige Funktion häufig in verschiedenen Microsoft-Office-Produkten, wie Excel, Office Online Server und Excel für OSX verwendet wird. Die Schwachstellen sind das Ergebnis von Parsing-Fehlern in veraltetem Code, was CPR zu der Annahme veranlasst, dass die Sicherheitslücken bereits seit Jahren bestehen.

Yaniv Balmas, Head of Cyber Research, Products - R&D bei Check Point

Yaniv Balmas, Head of Cyber Research bei Check Point Software Technologies und verantwortlich für die Entdeckung, erklärt: „Die gefundenen Sicherheitslücken betreffen fast das gesamte Microsoft-Office-Ökosystem. Es ist möglich, einen solchen Angriff gegen beinahe jede Office-Software durchzuführen, einschließlich Word, Outlook und Excel. Wir haben erkannt, dass die Schwachstellen auf Parsing-Fehler im Legacy-Code zurückzuführen sind. Eine der wichtigsten Erkenntnisse aus unserer Untersuchung lautet, dass Legacy-Code nach wie vor ein schwaches Glied in der Sicherheitskette ist, insbesondere bei komplexer Software wie Microsoft Office. Obwohl wir bei unserer Untersuchung nur vier Schwachstellen gefunden haben, kann man nie sagen, wie viele weitere Schwachstellen dieser Art noch offen herumliegen und darauf warten, gefunden zu werden. Ich empfehle Windows-Anwendern dringend, ihre Software sofort zu aktualisieren, da es zahlreiche Angriffswege gibt, über die ein Angreifer die von uns gefundenen Schwachstellen ausnutzen kann.“

Das gefährliche: Die gefundenen Schwachstellen können in die meisten Office-Dokumente eingebettet werden. Es sind daher mehrere Angriffswege denkbar. Der einfachste wäre:

  1. Das Opfer lädt eine bösartige Excel-Datei (XLS-Format) oder Word-Datei (DOCX-Format) oder Outlook-E-Mail (EML-Format) herunter. Das Dokument kann über einen Download-Link oder eine E-Mail bereitgestellt werden, aber der Angreifer kann das Opfer nicht dazu zwingen, es herunterzuladen.
  2. Das Opfer öffnet die verseuchte Datei.
  3. Die Sicherheitslücke wird ausgelöst.

Die gesamte Office-Suite kann beispielweise Excel-Objekte einbinden und in diesem Fall erweitert diese Funktionalität den Angriffsweg der Hacker. So wird es möglich, eine Attacke gegen fast jede Office-Software auszuführen. CPR hat seine Forschungsergebnisse verantwortungsbewusst an Microsoft weitergegeben. Microsoft hat die Sicherheitslücken bereits geschlossen und die Patches CVE-2021-31174, CVE-2021-31178 und CVE-2021-31179 herausgegeben. Der vierte Patch wird an Microsofts Patch Tuesday am 8. Juni 2021 herausgegeben, klassifiziert als CVE-2021-31939.