Bestimmte Versionen von Windows, Microsoft Office und Lync werden von Cyber-Angreifern durch eine Zero-Day-Lücke in einer gemeinsam genutzten Grafikbibliothek attackiert. In seinem Blog berichtet Microsofts Sicherheitsteam, dass es den Angreifern gelang, über speziell präparierte TIFF-Grafiken Code in die Rechner ihrer Opfer einzuschleusen.

Nach derzeitigem Kenntnisstand betrifft die Lücke Windows Vista und Server 2008 sowie Office 2003, 2007 und 2010, sowie Lync 2010 und 2013. Wer eines oder mehrere der betroffenen Produkte installiert hat, sollte umgehend das von Microsoft veröffentlichte Fix-it-Tool anwenden, das die Lücke provisorisch schließt, indem es die Darstellung von TIFF-Dateien verhindert. Durch das Verschärfen der Office-Sicherheitseinstellungen und das Härtungstool EMET kann man sein System alternativ absichern. Im Advisory beschreibt Microsoft die Details zu dem Leck. Bislang hat sich das Unternehmen noch nicht dazu geäußert, wann Patches veröffentlicht werden, welche die Sicherheitslücke behandeln. Kommenden Dienstag findet der nächste Patchday statt.

Laut Microsoft wird die Lücke derzeit für gezielte Cyber-Attacken im Nahen Osten und Südasien missbraucht. Zudem haben die Sicherheitsexperten von Alien Vault Angriffe beobachtet, die gegen das pakistanische Militär und den dortigen Geheimdienst gerichtet sind. Die speziell präparierten TIFF-Dateien betten die Angreifer in Word-Dateien ein. Um eigenen Code mittels Heap Spraying im Speicher zu platzieren, nutzt der kursierende Exploit ActiveX-Controls. Aus bereits vorhandenen Code-Fragmenten baut er anschließend via ROP die notwendigen Befehle zusammen, um diesen Speicherbereich als ausführbar zu markieren und springt ihn an.

(jk, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE