Bedrohungsanalyse

    Mimecast entdeckt MDB-Leaker: Microsoft Access Sicherheitslücke CVE-2019-1463

    Die Sicherheitsauswirkungen eines offensichtlichen Speicherlecks in der Microsoft Access-Datenbank

    by Matthew Gardiner
    database-unsplash-kevin-ku.jpg

    Anmerkung der Redaktion: Vielen Dank an Ofir Shlomo und Tal Dery von Mimecast Research Labs für diese Entdeckung.

    Im Januar 2019 entdeckte und veröffentlichte Mimecast Research Labs CVE-2019-0560, eine Sicherheitslücke in Microsoft Office-Produkten. Kürzlich entdeckte und veröffentlichte das Labor eine verblüffend ähnliche neue Sicherheitslücke namens MDB Leaker, die am 10. Dezember 2019 einen Patch (CVE-2019-1463) in der Access-Datenbankanwendung von Microsoft erforderte.

    Wenn diese Schwachstelle nicht behoben wird, könnten 85.000 Unternehmen - davon fast 60 % in den USA - einem Leck in ihren sensiblen Daten ausgesetzt sein. Zum Zeitpunkt der Veröffentlichung dieses Blogs ist dem Labor jedoch keine tatsächliche Gefährdung aufgrund dieser Sicherheitslücke bekannt.

    Inwiefern sind diese beiden Sicherheitslücken ähnlich? Weil es sich um einen häufigen Kodierungsfehler handelt - in diesem Fall die unsachgemäße Verwaltung des Systemspeichers durch eine Anwendung, die zur unbeabsichtigten Offenlegung sensibler oder privater Informationen führen kann.

    Falsche Positivmeldungen können gut sein

    Während falsch negative Ergebnisse wie fehlende bösartige Dateien oder E-Mails immer minimiert werden sollten, sind nicht alle falsch positiven Ergebnisse von Natur aus schlecht. Bei MDB Leaker beispielsweise erwies sich, wie bei der Microsoft Office-Schwachstelle vom Januar 2019, die Meldung eines potenziellen Fehlalarms als ausschlaggebend für diese Entdeckung. Here's how.

    Nach dem Erhalt eines False-Positive-Reports für eine bestimmte Microsoft-Access-Datei, die durch die statische Dateianalyse erkannt wurde, stellten die Mimecast-Forscher fest, dass sich Codefragmente in einer Microsoft-Access-MDB-Datei befanden, die eindeutig ein reiner Dateityp sein sollte. Daraufhin vermutete das Team, dass der Systemspeicher in der Microsoft Access-Anwendung unsachgemäß verwaltet wird, und konnte feststellen, dass es sich um einen reproduzierbaren Fehler handelt, der in mehreren älteren Versionen der Microsoft Access-Datenbankanwendung enthalten war.

    Worin besteht die Sicherheitslücke?

    MDB Leaker scheint nahezu identisch mit dem breiteren Office-Speicherleck zu sein, das das Labor Anfang 2019 entdeckte und das dazu führte, dass der Inhalt von ungewollten Speicherelementen in jeder Datei gespeichert wurde - zumindest seit Access 2002 -, die mit einer ungepatchten Version der Microsoft Access-Datenbank gespeichert wurde. Aufgrund der Zufälligkeit der Speicherinhalte, die hier im Spiel sind, kann es sich bei den unbeabsichtigt in der Datei gespeicherten Daten in vielen Fällen um wertlose Inhaltsfragmente handeln. Dies muss jedoch nicht immer der Fall sein.

    In einigen Fällen kann es sich bei den unbeabsichtigt in der MDB-Datei gespeicherten Daten um sensible Informationen wie Kennwörter, Zertifikate, Webanfragen und Domänen-/Benutzerinformationen handeln. Mit anderen Worten: Eine Speicherverknüpfung ist nicht per se eine Sicherheitslücke, sondern das eigentliche Problem ist, wozu das Speicherleck führen kann. In diesem Sinne empfiehlt das Labor allen Nutzern der Microsoft Access-Datenbank die Offenlegung.

    Ein weiteres Beispiel von Forschern. Wenn ein böswilliger Akteur in der Lage wäre, auf einen Computer zu gelangen, der MDB-Dateien enthält, oder große Mengen an MDB-Dateien in die Hände zu bekommen, könnte er eine automatisierte "Dumpster-Diving"-Jagd durch alle Dateien durchführen, um nach sensiblen Informationen in diesen Dateien zu suchen und diese zu sammeln, die für eine beliebige Anzahl von böswilligen Zwecken verwendet werden könnten.

    Glücklicherweise hat das Mimecast Research Lab bisher noch keine Ausnutzung dieser Schwachstelle in freier Wildbahn gesehen, aber ein Benutzer, der die potenzielle Schwachstelle nicht patcht, könnte für einen Angriff anfällig sein. Um dies zu vermeiden, befolgen Sie die unten aufgeführten bewährten Sicherheitspraktiken und patchen Sie Microsoft Access-Datenbankprogramme so schnell wie möglich.

    Empfohlene bewährte Sicherheitspraktiken

    • Verwenden Sie ein E-Mail-Sicherheitssystem mit ausgefeilten Malware-Erkennungsfunktionen, die sowohl statische Dateianalyse als auch Sandboxing umfassen, um zu verhindern, dass bösartige Dateien in das Unternehmen gelangen oder sensible Inhalte das Unternehmen verlassen.
    • Überwachen und installieren Sie regelmäßig Patches und Updates für Ihre IT-Systeme und -Anwendungen auf Sicherheitslücken, wie sie vom IT-Anbieter bereitgestellt werden.
    • Überwachen Sie den Netzwerkverkehr auf Verbindungen zu wahrscheinlichen Command-and-Control-Diensten und auf die Exfiltration potenziell sensibler Dateien.
    • Aktualisieren Sie das Sicherheitssystem für Endgeräte kontinuierlich, um die Wahrscheinlichkeit zu erhöhen, dass bösartige Software auf diesen Rechnern erkannt wird.

     

    Dieser Blog dient nur zu allgemeinen Informationszwecken und sollte nicht als Ersatz für die Konsultation eines professionellen Beraters verwendet werden. Mimecast Services Limited und die mit ihr verbundenen Unternehmen (zusammen "Mimecast") haben diese Informationen mit angemessener Sorgfalt erhoben, verarbeitet und veröffentlicht, jedoch keine unabhängige Prüfung, Validierung oder Auditierung der Daten vorgenommen, um die Richtigkeit oder Vollständigkeit der Informationen zu überprüfen. Mimecast ist nicht verantwortlich für Fehler oder Auslassungen in diesem Blog und behält sich das Recht vor, jederzeit und ohne Vorankündigung Änderungen vorzunehmen. Die Erwähnung von Produkten oder Dienstleistungen, die nicht von Mimecast stammen, dient nur zu Informationszwecken und stellt weder eine Befürwortung noch eine Empfehlung durch Mimecast dar. Alle Informationen von Mimecast und Dritten, die in diesem Blog bereitgestellt werden, werden ohne Gewähr bereitgestellt. MIMECAST LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE IN DIESEM FORSCHUNGSPAPIER BEREITGESTELLTEN INFORMATIONEN (EINSCHLIESSLICH SOFTWARE, PRODUKTE ODER DIENSTLEISTUNGEN) AB, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT UND EIGNUNG FÜR EINEN BESTIMMTEN ZWECK SOWIE DER NICHTVERLETZUNG VON RECHTEN DRITTER. In einigen Rechtsordnungen ist der Ausschluss stillschweigender Garantien nicht zulässig, so dass der obige Ausschluss für Sie möglicherweise nicht gilt. In keinem Fall haftet Mimecast für irgendwelche Schäden, und insbesondere haftet Mimecast nicht für direkte, besondere, indirekte, Folge- oder zufällige Schäden oder Schäden für entgangenen Gewinn, entgangene Einnahmen oder Nutzungsausfall, Kosten für Ersatzgüter, Verlust oder Beschädigung von Daten, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung einer Mimecast-Website oder einer Mimecast-Lösung ergeben. Dies gilt auch für Schäden, die durch die Nutzung von oder im Vertrauen auf die in diesem Blog enthaltenen Dokumente oder Informationen entstehen, selbst wenn Mimecast auf die Möglichkeit solcher Schäden hingewiesen wurde.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang