Microsoft Word- bzw. Excel-Dokumente können Authentifizierungsdaten beinhalten, falls ODBC-Datenbankanfragen zum Importieren von Daten verwendet werden.

Betroffene Systeme

• Microsoft Office für Windows-Plattformen
• Microsoft Excel für Mac OS

Einfallstor
Erstellen eines Word- bzw. Excel-Dokumentes mit ODBC-Datenbankanfragen und anschließende Speicherung und Weitergabe des Dokumentes.

Auswirkung
Das weitergegebene Dokument kann die Authentifizierungsinformationen in Klartext beinhalten, wodurch nicht autorisierte Personen Zugriff auf die Datenbank erhalten können.

Typ der Verwundbarkeit
Konfigurationsfehler

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Falls Open Database Connectivity (ODBC)-Datenbankanfragen zum Importieren von Daten in Word- bzw. Excel-Dokumenten verwendet werden, können diese Dokumente Authentifizierungsdaten (der ODBC-Anfrage) in Klartext beinhalten. Bei der Weitergabe von Office-Dateien können diese sensitiven Informationen ggf. in den Besitz von nicht autorisierten Personen gelangen. Betroffen sind Microsoft Word- und Exel-Dokumente auf Microsoft Windows-Plattformen sowie Excel-Dokumente auf Mac OS.

Es sind offenbar nachfolgende Datenbank-Treiber betroffen:

• Microsoft Access Driver
• Microsoft ODBC für Oracle
• MyODBC driver für MySQL
• Microsoft dBase Driver

Workaround
Bei Microsoft Excel für Windows-Plattformen läßt sich das Speichern von Authentifizierungsinformationen über folgende Registrierungswerte unterbinden:

;Für Office 97
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\8.0\Common\Security]
"DisablePwdCaching"=dword:00000001

;Für Office 2000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\9.0\Common\Security]
"DisablePwdCaching"=dword:00000001

;Für Office XP
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\10.0\Common\Security]
"DisablePwdCaching"=dword:00000001

Ein weiterer Workaround, der auch bei Excel für Mac OS funktioniert, besteht darin, nach dem Importieren von Daten mittels Rechtsklick auf die Daten im Kontextmenü "External Data Range Properties" den Haken unter "Save password" zu entfernen.

Für Microsoft Word unter Windows-Plattformen ist derzeit kein Workaround bekannt, d.h. es läßt sich nicht vermeiden, dass Word-Dokumente bei der Verwendung von externen ODBC-Datenbankanfragen sensitive Informationen beinhalten können.

Gegenmaßnahmen
Das beschriebene Problem wird von Microsoft offenbar nicht als Problem angesehen - es ist schon seit Jahren bekannt, aber bislang nicht behoben, insofern auch nicht mit einer baldigen Änderung zu rechnen.

Weitere Information zu diesem Thema

• XL2000: How to Avoid Saving Password in Text File When You Get External Data (Microsoft)
• ACC2000: How to Use a Secured Database in Word Mail Merge (Microsoft)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/