Mimecast entdeckt die Sicherheitslücke in Microsoft Office-Produkten CVE-2019-0560

Was passiert, wenn man eine hochentwickelte Anti-Phishing-Anhangsinspektion, eine statische Dateianalyse, maschinell ausführbaren Code in Dateien, Kundenberichte über Fehlalarme, die Microsoft Office-Suite, ActiveX-Steuerelemente und ein bisschen Glück kombiniert? Die Entdeckung einer wichtigen, neu gepatchten Sicherheitslücke in Microsoft Office-Produkten!

Diese neu gepatchte Sicherheitslücke in Microsoft Office-Produkten, die vom Mimecast Research Labs Team entdeckt wurde, hat höchstwahrscheinlich zu einem weit verbreiteten, unbeabsichtigten Durchsickern sensibler Informationen in Millionen von zuvor erstellten Office-Dateien geführt. Mimecast ist jedoch nicht bekannt, dass diese Sicherheitslücke tatsächlich ausgenutzt wurde.

Diese Sicherheitslücke wurde von Microsoft als "Important" eingestuft, was bedeutet, dass sie zu einer "Gefährdung der Vertraulichkeit, Integrität oder Verfügbarkeit der Daten eines Benutzers oder der Integrität oder Verfügbarkeit von Verarbeitungsressourcen" führen kann.

Dies erinnert an die Schwachstelle Heartbleed , die 2014 in der kryptografischen Bibliothek OpenSSL aufgedeckt wurde und die eine weitreichende unbeabsichtigte Offenlegung des Speichers des Rechners ermöglichte, auf dem die ungepatchte Version der Bibliothek lief.

Microsoft hat kürzlich ein Sicherheits-Patch für diese Sicherheitslücke veröffentlicht. Wir empfehlen allen Nutzern des Microsoft Office-Produkts , diesen Patch so schnell wie möglich zu installieren. Um mehr über die Sicherheitslücke und die technische Methode zu erfahren, die wir bei ihrer Erkennung verwendet haben, lesen Sie bitte dieses technische Whitepaper von Mimecast.

Wie Mimecast diese Microsoft-Sicherheitslücke entdeckt hat

Nun zur Vorgeschichte! Anfang November 2018 untersuchten die in Israel ansässigen Mimecast Research Labs, was wir zu diesem Zeitpunkt für eine ganz gewöhnliche falsch-positive Malware-Erkennung von einem unserer E-Mail-Sicherheitskunden hielten. Im normalen Geschäftsverlauf erhält Mimecast von seinen Kunden Berichte über falsch positive Erkennungen von Phishing-Angriffen. Dazu gehört manchmal auch die Erkennung von Dateien, die im Verdacht stehen, bösartig zu sein.

Bei der Untersuchung einer vermeintlich falsch positiven Malware-Datei stellte sich schnell heraus, dass es sich um etwas ganz anderes handelte. Diese Untersuchung führte das Team zu der Erkenntnis, dass das Microsoft Office-Produkt ein Speicherleck aufwies, und zwar nicht nur ein gewöhnliches Speicherleck, das einfach zu viel Systemspeicher verbrauchte, sondern eines, das zur unbeabsichtigten Offenlegung von Informationen für jede ungepatchte Instanz der Microsoft Office-Suite mit ActiveX-Steuerelementen führen konnte.

Erhalten Sie Artikel wie diesen jede Woche in Ihren Posteingang. Abonnieren Sie noch heute Cyber Resilience Insights.

Bei einer genaueren Untersuchung der eingereichten Dateien stellte das Mimecast-Team fest, dass sie tatsächlich maschinenausführbaren Code enthielten, was in der Regel ein Sicherheitsrisiko in einer Datendatei wie der Microsoft Word-Lösung darstellt. Das Vorhandensein von maschinell ausführbarem Code in einer Datendatei ist in der Regel ein Schlüsselindikator für eine potenzielle Sicherheitslücke. In diesem Fall war der ausführbare Code jedoch nur ein Fragment und somit nicht bösartig. Weitere Untersuchungen ergaben, dass Microsoft Office-Dateien, die ActiveX-Steuerelemente enthielten, immer wieder Speicherlecks verursachten.

Dieses Speicherleck führt zum permanenten Schreiben von Speicherinhalten in verschiedene Microsoft Office-Dateien und birgt somit die Gefahr, dass sensible Daten und lokale Rechnerinformationen unbeabsichtigt nach außen dringen. Wenn diese Art von Daten bekannt ist, könnten sie für Cyberkriminelle nützlich sein, um einen Malware-fähigen Remote-Ausführungsangriff auszuführen und, was mindestens genauso wichtig ist, um sensible Informationen zu stehlen. Das Mimecast-Team hat Beweise für dieses Leck in Dokumenten, die Jahre zurückliegen. Einige Dokumente wurden sogar online gefunden, die sensible Benutzerinformationen enthalten.

Welche Auswirkungen auf die Sicherheit hat diese Schwachstelle?

Wir gehen davon aus, dass die gepatchten Systeme nach der Installation des Patches nicht mehr für diese Sicherheitslücke anfällig sind. Das ist die gute Nachricht. Doch was ist mit den Millionen von Office-Dateien, die bis heute mit anfälligen Microsoft Office-Versionen erstellt wurden und die nun zufällige Teile potenziell sensibler Informationen enthalten? Wenn diese Dateien derzeit im öffentlichen Internet verfügbar sind, können sie von jedermann eingesammelt und analysiert werden. Wir würden vorschlagen, sie zu entfernen oder sie mit einer gepatchten Version von Microsoft Office neu zu speichern.

Die Entdeckung dieser Schwachstelle zeigt, dass eine sorgfältige Untersuchung selbst von Fehlalarmen zu wichtigen Sicherheitsentdeckungen führen kann!

Zeitplan für die Korrespondenz mit dem Microsoft Security Response Center

6. November 2018 - Kontaktaufnahme mit dem Microsoft Security Response Center mit Informationen und Anweisungen zur Reproduktion.
7. November 2018 - MSRC-Fall 48359 eröffnet.
8. November 2018 - MSRC reproduziert das Problem erfolgreich.
12. Dezember 2018 - MSRC teilt mit, dass dieses Problem mit CVE im Januar-Sicherheitspatch behoben wird.
8. Januar 2019 - Patch wird mit CVE-2019-0560 bereitgestellt.

Mimecast ist eine eingetragene Marke oder Marke von Mimecast Services Limited in den Vereinigten Staaten und/oder anderen Ländern. Alle anderen Marken sind das Eigentum ihrer jeweiligen Inhaber.