Microsoft bestätigte Sicherheitslücke
Am 11. Juli 2023 hat Microsoft, der Hersteller der Office-Suite, eine neu entdeckte Sicherheitslücke bekanntgegeben, die aktiv ausgenutzt wird. Diese Schwachstelle wurde unter dem Namen CVE-2023-36884 veröffentlicht und ihre kritische Bedeutung wurde mit einem CVSS-Score von 8.3 („hoch“) bewertet (CVSS v3.1).
Laut Angaben von Microsoft kann ein Angreifer von extern die Fernausführung von Code erreichen, indem er das Opfer dazu verleitet, ein speziell manipuliertes Microsoft-Office-Dokument zu öffnen.
Microsoft berichtet zudem über eine Phishing-Kampagne, bei der bereits diese genannte Schwachstelle ausgenutzt wurde. Es wurde bekannt, dass die Bedrohungsakteurgruppe Storm-0978 Angriffe auf Verteidigungs- und Regierungsorganisationen in Europa und Nordamerika durchgeführt hat. In den Phishing-E-Mails mit präparierten Word-Dokumenten wurde im Betreff Bezug auf den Ukrainischen Weltkongress genommen. Storm-0978, eine in Russland ansässige Cyberkriminelle-Gruppe, ist hauptsächlich für den Einsatz ihrer Backdoor RomCom bekannt. Sie führt opportunistische Ransomware- und Erpressungsoperationen sowie gezielte Kampagnen zur Erfassung von Zugangsdaten durch, die wahrscheinlich Geheimdienstoperationen unterstützen. Storm-0978 entwickelt und verteilt die RomCom-Backdoor. Die Gruppe verwendet auch die Ransomware „Underground“, die eng mit der im Mai 2022 erstmals aufgetretenen Ransomware „Industrial Spy“ verbunden ist. In der jüngsten Kampagne, die im Juni 2023 entdeckt wurde, wurde die Schwachstelle CVE-2023-36884 ausgenutzt, um eine Backdoor zu verbreiten, die Ähnlichkeiten mit RomCom aufweist [MS2023b].
Eine aktuelle Liste der betroffenen Produktversionen und Hilfestellungen sind im Sicherheitshinweis des Herstellers verfügbar [CVE2023a][MS2023a].
Im Rahmen des Juli-Patchdays hat Microsoft auch Sicherheitslücken geschlossen, die von Angreifern genutzt werden konnten, um Sicherheitswarnungen beim Öffnen von Links in Outlook [CVE2023b] zu umgehen oder die Windows-SmartScreen-Warnung [CVE2023c] beim Öffnen von ausführbaren Dateien zu umgehen. Es wurden auch Schwachstellen geschlossen, die es Angreifenden ermöglichten, ihre Rechte auszuweiten ([CVE2023d], [CVE2023e]).
Registry-Key sichern und ändern
Aktuell ist kein Patch für die zuvor beschriebene Schwachstelle CVE-2023-36884 [CVE2023a] verfügbar. Daher sollten die genannten Abhilfemaßnahmen verwendet werden, um die Ausnutzung der Schwachstelle zu verhindern. Zusätzlich sollten IT-Sicherheitsverantwortliche regelmäßig überprüfen, ob ein Patch veröffentlicht wurde.
Es stehen folgende Abhilfemaßnahmen zur Verfügung:
– Das Erstellen von Child-Prozessen über die „Attack Surface Reduction (ASR)“-Regeln sollte für alle Microsoft-Office-Anwendungen untersagt werden.
– Unter dem Registry-Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION sollten neue DWORD-Werte mit den Namen der Office-Programmdateien erstellt werden. Diese Werte sollten jeweils auf 1 gesetzt werden:
– Excel.exe
– Graph.exe
– MSAccess.exe
– MSPub.exe
– PowerPoint.exe
– Visio.exe
– WinProj.exe
– WinWord.exe
– Wordpad.exe
Microsoft weist darauf hin, dass durch das Setzen der oben genannten Registry-Werte Einschränkungen bei bestimmten Nutzungsszenarien auftreten können. In diesem Fall sollte das Risiko der Schwachstellenausnutzung höher bewertet werden als die Einschränkungen. Die Registry-Werte können wieder auf den Ausgangszustand zurückgesetzt werden, sobald der entsprechende Patch veröffentlicht und installiert wurde. Detailliertere Informationen zu den Abhilfemaßnahmen sowie weitere Hinweise finden Sie unter [CVE2023a] und [MS2023b].
Wenn das Produkt Microsoft Defender for Office 365 verwendet wird, verhindert dies laut Microsoft bereits die Ausnutzung der Schwachstelle durch präparierte Dokumente. Auch das Produkt Microsoft 365 Apps (ab Version 2302) soll nicht betroffen sein.
Obwohl der Patch zur Behebung von CVE-2023-36884 noch erwartet wird, können durch die Sicherheitsupdates des Juli-Patchdays zumindest die oben beschriebenen Schwachstellen [CVE2023b] bis [CVE2023e] sowie weitere Verwundbarkeiten in Microsoft-Produkten behoben werden. Es wird daher dringend empfohlen, diese Updates unabhängig von der hier beschriebenen Situation kurzfristig zu überprüfen.