Mimecast entdeckt MPP Bleed, eine Sicherheitslücke in Microsoft Project

Anmerkung der Redaktion: Vielen Dank an Dor Zvi von Mimecast Research Labs für diese Entdeckung.

Was passiert, wenn man eine hochentwickelte Anti-Phishing-Anhangsinspektion, eine statische Dateianalyse, maschinell ausführbaren Code in Dateien, Kundenberichte über einen potenziellen Fehlalarm und eine Projektmanagement-Anwendung kombiniert?

Die Entdeckung einer neu gepatchten Sicherheitslücke mit Microsoft Project: Mimecast Research Labs hat eine neue Sicherheitslücke aufgedeckt, die Microsoft Project , die seit 2010 in Microsoft Office und Microsoft 365 enthaltene Projektmanagement-Software, betrifft. Es gibt etwa

Bei MPP Bleed stellten die Sicherheitsforscher von Mimecast fest, dass sich ausführbare Codefragmente in einer Datei befanden, die eigentlich eine reine Datendatei sein sollte, nämlich .MPP. Diese Entdeckung ähnelt zwei kürzlichen Mimecast-Entdeckungen: MDB Leaker , ein Speicherleck, das die Microsoft Access-Datenbank betraf, sowie CVE-2019-0560 , eine Schwachstelle, die zum weit verbreiteten, unbeabsichtigten Durchsickern sensibler Informationen in Millionen zuvor erstellter Office-Dateien führte.

Um die Schwachstelle auszunutzen, muss ein böswilliger Akteur nur in den Besitz von .MPP-Dateien gelangen, die mit einer ungepatchten Version von Microsoft Project gespeichert wurden. Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte Informationen erhalten, um das System des Benutzers weiter zu kompromittieren oder auf sensible, private Informationen zuzugreifen, die in der Datei gespeichert sind (die sich zuvor im Speicher befanden), wie z. B. Grafiken, Text oder andere Metadaten. Glücklicherweise sind zum Zeitpunkt der Erstellung dieses Dokuments noch keine Ausnutzungen von CVE-2020-1322 bekannt.

Wie Mimecast Research Labs MPP Bleed entdeckte

Sie fragen sich vielleicht, wie die Forscher dieses Leck entdeckt haben. Mimecast erhält regelmäßig Berichte über mögliche falsch positive Erkennungen von Phishing-Angriffen von Kunden, die manchmal Dateien enthalten, die als bösartig vermutet werden. Kürzlich untersuchte Mimecast Research Labs eine vermeintlich gewöhnliche falsch-positive Malware-Erkennung von einem email security Kunden. Bei näherer Untersuchung stellte sich heraus, dass die vermeintlich falsch-positive Malware-Datei ein Fragment von ausführbarem Code enthielt, das in einer in Microsoft Project gespeicherten Datei gespeichert war. Das Vorhandensein von ausführbarem Code in einer Datendatei ist ein typischer Hinweis auf eine bösartige Datei.

Dies mag zwar harmlos erscheinen, kann jedoch schwerwiegende Folgen haben, da jeder Benutzer, der eine einfache Microsoft Project-Datei erstellt, bearbeitet oder speichert, unwissentlich sensible Informationen preisgeben kann, wenn die Datei in die falschen Hände gerät oder sich außerhalb der Kontrolle des Unternehmens befindet. Die MPP-Datei könnte beispielsweise Text, Diagramme, Finanzinformationen, Notizen, Bilder oder sogar Datenbankinformationen enthalten und diese Informationen möglicherweise an einen böswilligen Akteur weitergeben. Mit anderen Worten, dies ist die Art von Datenleck, die Cyberkriminellen hypothetisch nützlich sein könnte, um einen Angriff auszuführen oder sensible Informationen zu stehlen.

Leider ist das, was als Ergebnis dieser Sicherheitslücke offengelegt wird, zufällig, so dass es schwierig ist, den ausführbaren Code in einer bestimmten Projektdatei zu reproduzieren. Diese Zufälligkeit zeigt, wie schwerwiegend diese Sicherheitslücke sein könnte, da die Forscher nicht vorhersagen können, welche Arten von Informationen gespeichert werden könnten. Zum Glück für Microsoft Project-Nutzer ist das Speicherleck jedoch nur für Project spezifisch - das Speicherleck wirkt sich nicht auf andere Microsoft Office-Produkte aus. Das Verhalten wurde in Microsoft Project 2016 beobachtet, obwohl es sich auch auf Microsoft Project I Microsoft 365 auswirken kann.

Die Quintessenz

Sorgfältige Untersuchungen, selbst bei falsch positiven Ergebnissen, können zu wichtigen Sicherheitsentdeckungen führen. Diese Art von Forschung bestätigt, wie wichtig es ist, eine große Anzahl und Vielfalt von Malware-Erkennungsprogrammen zu verwenden, da die Schwachstelle in diesem wie auch in anderen Fällen von der Branche seit vielen Jahren übersehen wurde.

Wie bereits erwähnt, sind zum Zeitpunkt der Erstellung dieses Dokuments keine Sicherheitslücken für CVE-2020-1322 bekannt. Microsoft Research Labs empfiehlt jedoch allen Benutzern von Microsoft Project dringend, den Patch zu implementieren und die unten aufgeführten bewährten Sicherheitsverfahren zu befolgen. Sobald der Patch installiert ist, sollten die gepatchten Systeme nicht mehr für diese Sicherheitslücke anfällig sein.

Aber was ist mit den Millionen von Project-Dateien, die bis heute von anfälligen Microsoft Project-Versionen erstellt wurden und die nun zufällige Teile potenziell sensibler Informationen enthalten? Wenn diese Dateien derzeit im öffentlichen Internet verfügbar sind, können sie von jedermann eingesehen und analysiert werden. Microsoft Research Labs schlägt vor, sie zu entfernen oder mit einer gepatchten Version von Microsoft Project neu zu speichern.

Weitere Sicherheitshinweise:

• Verwenden Sie ein E-Mail-Sicherheitssystem mit ausgefeilten Malware-Erkennungsfunktionen, die sowohl statische Dateianalyse als auch Sandboxing umfassen, um zu verhindern, dass bösartige Dateien in das Unternehmen gelangen oder sensible Inhalte das Unternehmen verlassen.
• Überwachen und installieren Sie regelmäßig Patches und Updates für Ihre IT-Systeme und -Anwendungen, um Sicherheitslücken zu schließen, sobald diese vom IT-Anbieter bereitgestellt werden.
• Überwachen Sie den Netzwerkverkehr auf Verbindungen zu wahrscheinlichen Command-and-Control-Diensten und auf die Exfiltration potenziell sensibler Dateien.