Eine Pufferüberlaufschwachstelle in Microsoft Word, die von einem Angreifer dazu ausgenutzt werden kann, beliebigen Programmcode auf dem beherbergenden System mit den Privilegien des Word-Benutzers auszuführen, wird aktiv ausgenutzt.

Betroffene Systeme

• Microsoft Word 2002
• Microsoft Word 2003

Einfallstor
Microsoft-Word-Dokument, z.B. als Anhang einer E-Mail-Nachricht

Auswirkung
Ausführung beliebigen Programmcodes mit den Privilegien des Word-Benutzers
((remote) user compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Eine Pufferüberlaufschwachstelle in Microsoft Word kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Word-Benutzers auf dem beherbergenden System auszuführen. Dabei ist es ausreichend, daß der Benutzer ein entsprechend präpariertes Word-Dokument öffnet, das z.B. als Anhang einer E-Mail-Nachricht oder per Download von einer Webseite auf den beherbergenden Rechner gelangt.

Wie u. a. eEye mitteilt, sind bereits E-Mails in Umlauf, die einen Anhang tragen, der Code zur Ausnutzung dieser Schwachstelle enthält.

Microsoft hat ein Advisory veröffentlicht, das als temporäre Gegenmaßnahme empfiehlt, Office Produkte nur im Abgesicherten Modus zu starten. Dieser Workaround ist jedoch mit einigen Umständen verbunden: so greift er bei Anhängen beispielsweise nur, wenn die Dateien nicht direkt per Doppelklick aus der Nachricht geöffnet werden, sondern vorher abgespeichert und dann im Abgesicherten Modus mit Word geöffnet werden. Auch treten einige weitere Nebeneffekte auf.

Es wird dringend empfohlen, die Ratschläge des Advisories zu befolgen, sowie jedem Word-Dokument, das unverlangt zugeschickt wird oder das von einer unbekannten Webseite geladen wird, mit höchster Vorsicht zu begegnen und es im Zweifelsfall nicht zu öffnen.

Workaround

• Öffnen Sie keine Word-Dokumente, direkt aus E-Mail-Nachrichten sondern speichern Sie sie zunächst ab und öffnen Sie sie dann im Abgesichterten Modus (siehe Microsoft Security Advisory (919637))
• Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich.

Zur erfolgreichen Anwendung dieses Workarounds sollte darauf geachtet werden, daß es Webbrowser gibt, die nur anhand des MIME-Typen einer Datei entscheiden, mit welcher Anwendung sie automatisch geöffnet werden. So könnte z.B. ein Webbrowser eine reine Textdatei herunterladen (mit der Endung .txt), der der Webserver jedoch den MIME-Typen application/msword mitgibt. Dann kann es geschehen, daß der Browser automatisch Word startet, um sie zu betrachten, sofern das so konfiguriert ist. Es ist hier also nicht ausreichend, nur darauf zu achten, keine Word-Dokumente herunterzuladen, sondern es müssen Browser und E-Mail-Programme entsprechend konfiguriert werden, Dokumente nicht automatisch zu Öffnen.

Gegenmaßnahmen

• Bislang sind keine Patches verfügbar

Generelle Empfehlung (Wh)

• Öffnen Sie keinerlei Anhänge, die sie per Email ohne Ankündigung erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.

Vulnerability ID

• VU#446012
• CVE-2006-2492

Exploit Status

• Exploit Code ist in Umlauf

Weitere Information zu diesem Thema

• US-CERT: Technical Cyber Security Alert TA06-139A
• SANS Handler's Diary May 18th 2006
• eEye Security Alert: Exploits Circulating for Zero Day Flaw in Microsoft Word
• Microsoft Security Advisory (919637): Vulnerability in Word Could Allow Remote Code Execution

Weitere Artikel zu diesem Thema:

• [MS/Windows] Microsoft stellt Updates für 7 teils kritische Schwachstellen bereit (2006-07-13)
  Im Rahmen seines Security Bulletin Summary für Juli 2006 veröffentlicht Microsoft Updates für insgesamt 7 Schwachstellen. Unter anderem Updates zur Schwachstelle in Microsoft Word (siehe RUS-CERT-Meldung Nr. 1307) und Excel (siehe RUS-CERT-Meldung Nr. 1309) für die beide bereits seit einiger Zeit Expoit Code in Umlauf ist. Teilweise können die Schwachstellen zur Ausführung beliebigen Programmcodes auf dem beherbergenden System ausgenutzt werden. Es wird dringend empfohlen, die entsprechenden Patches zu installieren.
• [MS/Excel] Schwachstelle in Microsoft Excel - Exploit Code in Umlauf (UPDATE) (2006-06-19)
  Eine nicht näher spezifizierte Schwachstelle in Microsoft Excel kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Excel-Benutzers auszuführen. Laut einer Meldung von UNIRAS (britisches Regierungs-CERT) sind bereits enstprechend präparierte Excel-Dateien in Umlauf.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/