Mimecast entdeckt 3D Office Exploiter Sicherheitslücke in MS Office

Anmerkung der Redaktion: Vielen Dank an Menahem Breuer und Ariel Koren von Mimecast Research Labs für diese Entdeckung.

Mimecast hat eine weitere Entdeckung einer Sicherheitslücke in Microsoft Office gemacht, die Microsoft dazu veranlasst hat, einen Patch zu veröffentlichen, der alsMicrosoft Office Remote Code Execution Vulnerability aufgeführt ist und die Sicherheitslücke CVE-2020-1321 behebt.

Da die Schwachstelle ursprünglich von Mimecast-Forschern entdeckt und nur an Microsoft über den Prozess der verantwortungsvollen Offenlegung gemeldet wurde - bis jetzt -, wird dieser Artikel mehr über die Forschung und Entdeckung berichten. Wenn Sie mehr über die Schwachstelle und die Bedeutung des Absturzes einer Anwendung, Fuzzing und Remotecodeausführung erfahren möchten, lesen Sie weiter, um zu erfahren, wie sich die 3D Office Exploiter-Schwachstelle möglicherweise auf ungepatchte Versionen von Microsoft Office für Windows und Mac auswirkt.

Der Traum eines Angreifers: Remote Code Execution

Was ist die "3D Office Exploiter"-Schwachstelle, und warum sollten Sie sich dafür interessieren? Einer der Träume raffinierter Cyberkrimineller ist es, eine unbekannte und ungepatchte Möglichkeit - eine so genannte Zero-Day-Schwachstelle - zu finden, um ein System dazu zu bringen, Code auszuführen, wie und wann der Angreifer es wünscht. Mit anderen Worten: Der Angreifer stellt aus der Ferne den Code bereit, der auf dem Rechner des Ziels ausgeführt werden soll, was allgemein als Remote-Code-Ausführung bekannt ist. Damit hat der böswillige Akteur alles, was er braucht, um eine Schwachstelle zu konstruieren und auszunutzen. Wenn dann noch die Möglichkeit besteht, die Schwachstelle in eine gewöhnliche Datei einzubetten - z. B. ein Microsoft Word-Dokument oder sogar eine einfache Webseite -, wird dies zu einer viel mächtigeren Waffe in den Händen eines Angreifers, da sich der Versand von E-Mails an ein ahnungsloses Ziel immer wieder als erfolgreicher Weg erwiesen hat, einen Exploit zu platzieren.

3D-Modelle in Microsoft Office ermöglichen es den Benutzern, 3D-Modelle einfach in jede PowerPoint-, Word- oder Excel-Datei einzufügen und das Modell mit integrierten Werkzeugen zum Drehen, Spiegeln, Drehen, Schwenken und Zoomen für eine ideale Platzierung zu bearbeiten. Es gibt verschiedene Arten von 3D-Objekten, die Office unterstützt: fbx, obj, 3mf, ply, stl, glb. Diese komplexen Funktionen erfordern eine Menge Logik, und da 3D-Objekte immer beliebter werden, da sie von immer mehr Bildrenderern unterstützt werden, steigt auch die Wahrscheinlichkeit möglicher Fehler.

Im Zuge laufender Forschungen, die sich auf Microsoft Office-Anwendungen konzentrierten, stellten die Mimecast-Forscher fest, dass sie das Verhalten von 3D-Diagrammen beeinflussen konnten, indem sie die entsprechenden Eingaben in die Anwendungen zufällig änderten. Dies gab den Forschern einen Hinweis darauf, dass irgendwo tief in der 3D-Bibliothek, die auf der Microsoft Windows-Plattform weit verbreitet ist und verwendet wird, ein Kodierungsfehler vorliegt, der dazu führen könnte, dass Hacker Anwendungen, die davon abhängig sind, zuverlässig zum Absturz bringen können. Sobald ein böswilliger Akteur weiß, wie er eine Anwendung zuverlässig zum Absturz bringen kann, kann er dann veranlassen, dass bei Bedarf Code als Folge des Absturzes ausgeführt wird.

Wer mit Cyberkriminellen mithalten will, sollte Fuzzing betreiben

Eine Schlüsseltechnik, die die Mimecast-Forscher verwendeten, um mit der 3D-Bibliothek den nächsten Schritt zu machen, ist als Fuzzing oder Fuzz-Testing bekannt. Fuzzing ist eine automatisierte Methode, bei der wahrscheinlich ungültige oder zufällig ausgewählte falsche Daten in eine Anwendung eingespeist werden, mit potenziell Millionen von Iterationen, um zu versuchen, das Programm zum Scheitern oder Absturz zu bringen, während es versucht, unerwartete oder ungültige Eingaben zu verarbeiten. Derartige Eingaben erhöhen die Wahrscheinlichkeit, dass es zu einer "Edge-Case"-Behandlung kommt, die die Anwendung einem unerwarteten Verhalten aussetzt, das normalerweise zu Softwareabstürzen oder unerwarteten Ergebnissen führt. Einige dieser Schwachstellen können von Angreifern ausgenutzt werden, die speziell gestaltete Eingabesamples erstellen können, um DDOS, den Verlust sensibler Informationen oder sogar die Remotecodeausführung auf dem Host zu verursachen.

Als die Forscher den Absturzdatensatz und die Absturzsequenz entdeckten, waren sie kurz davor, eine ausnutzbare Zero-Day-Schwachstelle zu entdecken. Der Grund dafür ist, dass die Absturzsequenz und die zugehörigen Speicherplätze von Office-Anwendungen gut bekannt sind, was dem böswilligen Akteur die Möglichkeit gibt, Code einzufügen, der unmittelbar vor der Beendigung des Programms bei einem Absturz ausgeführt wird. Auf diese Weise wird eine neue ausnutzbare Sicherheitslücke entdeckt.

Patchen Sie es, oder riskieren Sie eine schwere Sicherheitslücke

Angesichts der großen Anzahl von Unternehmen, die Microsoft Office-Anwendungen verwenden - weltweit gibt es etwa 1,2 Milliarden Nutzer von Microsoft Office - ist es wichtig, dass Unternehmen Microsofts Patch implementieren, bevor diese Sicherheitslücke ausgenutzt werden kann.

Wie kann es ausgenutzt werden? Angreifer könnten eine Office-Datei, die sie über eine Phishing-E-Mail oder auch nur durch den Besuch einer URL erstellt haben, so steuern, dass sowohl ein Absturz verursacht als auch ihr eingebetteter Code ausgeführt wird, kurz bevor das Programm beendet wird.

Obwohl Microsoft den Patch nach Ablauf der 90-tägigen Offenlegungsfrist veröffentlicht hat, sind zum Zeitpunkt der Erstellung dieses Artikels glücklicherweise noch keine Angriffe auf 3D Office Exploiter bekannt, so dass Unternehmen ein Zeitfenster haben, in dem sie den Patch anwenden und ihr Risiko vor den Cyberkriminellen reduzieren können. Aufgrund der statischen Dateianalysefunktionen des Mimecast Secure Email Gateway mit Targeted Threat Protection und Web Security sind Mimecast-Kunden bereits gegen potenzielle Angriffe auf diese Schwachstelle geschützt.

Die beste Verteidigung ist ein guter Angriff

Es ist eine alte Binsenweisheit im Sport, dass die beste Verteidigung ein guter Angriff ist. Egal, ob Sie Eishockey, Football (American Football), Football (überall sonst auf der Welt), Tennis oder irgendeine andere Sportart spielen, bei der sich Angriff und Verteidigung abwechseln (Entschuldigung, Baseball), Sie werden verstehen, dass man mit einem rein defensiven Spiel sehr anfällig für Gegentore sein kann. Eine ununterbrochene Offensive kann eine rein defensive Strategie irgendwann zunichte machen.

Diese Binsenweisheit gilt auch direkt für Cyber-Kriminelle und Cyber-Verteidiger. Wenn Cyber-Verteidiger wie Mimecast sich zurücklehnen und nur auf das reagieren, was die Cyber-Kriminellen tun, wird die Verteidigung nicht so effektiv sein, wie sie sein könnte. Aus diesem Grund untersuchen die Forscher von Mimecast regelmäßig einschlägige Software und Systeme auf Schwachstellen und nehmen an Programmen zur verantwortungsvollen Offenlegung von Schwachstellen teil; wir müssen den Angreifern auf Augenhöhe oder sogar voraus sein.

Die Quintessenz

Wenn diese Schwachstelle ausgenutzt wird, hat sie potenziell schwerwiegende Auswirkungen. NVD (U.S. National Vulnerability Database) stufte den Schweregrad mit 8,8 von 10 ein, da ein Angreifer, der die Schwachstelle erfolgreich ausnutzt, möglicherweise die Kontrolle über ein betroffenes System im Kontext des laufenden Benutzers übernehmen könnte - ein zwingender Grund, den Patch lieber früher als später zu installieren.