{"id":197970,"date":"2017-11-28T01:29:19","date_gmt":"2017-11-28T00:29:19","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=197970"},"modified":"2022-04-05T05:37:59","modified_gmt":"2022-04-05T03:37:59","slug":"hacker-nutzen-office-formeleditor-schwachstelle-cve-2017-11882-aus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/11\/28\/hacker-nutzen-office-formeleditor-schwachstelle-cve-2017-11882-aus\/","title":{"rendered":"Hacker nutzen Office Formeleditor-Schwachstelle CVE-2017-11882 aus"},"content":{"rendered":"

[English<\/a>]In Microsoft Office wird ein Formeleditor mitgeliefert, der eine Schwachstelle enth\u00e4lt. Nun ist bekannt geworden, dass Hacker genau diese L\u00fccke f\u00fcr Angriffe ausnutzen. Hier ein paar Informationen. Erg\u00e4nzung: Stellungnahme von opatch nachgetragen.<\/p>\n

<\/p>\n

Sicherheitsl\u00fccke im EQNEDT32.EXE<\/h2>\n

\"\"Im Formeleditor EQNEDT32.EXE gibt es eine Sicherheitsl\u00fccke, die eine seit dem Jahr 2000 besteht (siehe hier<\/a> und hier). Der Formeleditor wurde zwar im Jahr 2007 durch einen neuen Editor ersetzt. Aus Kompatibilit\u00e4tsgr\u00fcnden (um alte Gleichungen in Word-Dokumente editieren zu k\u00f6nnen), ist der Formeleditor EQNEDT32.EXE in allen Office-Versionen bis Office 2016 dabei.<\/p>\n

\"Formeleditor\"<\/p>\n

Zum 14. November 2017 hat Microsoft im Rahmen des Patchday auch Updates f\u00fcr die noch unterst\u00fctzten Microsoft Office-Versionen freigegeben. Diese patchen auch die Sicherheitsl\u00fccke im Formeleditor EQNEDT32.EXE.<\/p>\n

Allerdings erfolgte der Patch auf recht unorthodoxe Weise, direkt im Bin\u00e4rcode, wie ich im Blog-Beitrag Hat Microsoft Zugriff auf Teile des Office-Quellcodes verloren?<\/a> angesprochen habe.<\/p><\/blockquote>\n

CVE-2017-11882 wird von Cobalt-Hackergruppe genutzt<\/h2>\n

In diesem Artikel<\/a> berichten Sicherheitsforscher von Reversing Labs, dass die Sicherheitsl\u00fccke CVE-2017-11882 im alten Formeleditor EQNEDT32.EXE aktiv durch die Cobalt-Hackergruppe ausgenutzt werde. Den Sicherheitsanalysten ist eine RTF-Datei mit entsprechenden Manipulationen in die H\u00e4nde gefallen. Diese wird wohl als E-Mail-Anhang verschickt. Auf ungepatchten Systemen kann das ausgenutzt werden. Einige Informationen finden sich auch bei Bleeping Computer<\/a>.<\/p>\n

Office-Update und 0patch-L\u00f6sung<\/h2>\n

Microsoft hat zum Patchday nur den alten Formeleditor EQNEDT32.EXE in den Office-Versionen gepatcht, die noch unterst\u00fctzt werden. Im Blog-Beitrag Microsoft Office Sicherheitsupdates (14. November 2017)<\/a> ist nachzulesen, dass Patches nur f\u00fcr Office 2007 bis Office 2016 f\u00fcr die MSI-Installer-Varianten bereitstehen, um CVE-2017-11882 zu schlie\u00dfen. Zum Problem wird das Ganze aber, falls das Sicherheitsupdate \u00c4rger macht und deinstalliert werden muss.<\/p>\n

Die Sicherheitsexperten von 0patch haben mich zum Wochenende kontaktiert und auf eine weitere L\u00f6sung hingewiesen. Deren Fachleute befassen sich mit Zero-Day-Exploits und entwickeln dazu entsprechende Zero-Day-Fixes, die per 0patch verteilt werden. Ich hatte deren L\u00f6sungen bereits vorgestellt (z.B. Drittanbieter 0Patch f\u00fcr FoxIt-Sicherheitsl\u00fccke).<\/a><\/p>\n

Im Blog-Beitrag Microsoft's Manual Binary Patch For CVE-2017-11882 Meets 0patch<\/a> (vor 4 Tagen ver\u00f6ffentlicht) beschreiben die Spezialisten einen 0-Day-Micropatch zum Schlie\u00dfen der L\u00fccke im Formeleditor. Der 0patch-Agent kann von deren Webseite heruntergeladen und auf Altsystemen ausgef\u00fchrt werden. Weitere Details sind dem Artikel zu entnehmen. Dummerweise scheint der Patch nicht f\u00fcr Office-Versionen vor 2007 freigegeben zu sein.<\/p>\n

Erg\u00e4nzung: Nach Ver\u00f6ffentlichung des obigen Artikels habe ich noch eine Mail von opatch erhalten. We read your article on our analysis of the Equation Editor patch\u00a0and would like to clarify that Office 2003 is,\u00a0peculiarly, not vulnerable because for some reason, its Equation Editor\u00a0executable is different and seems to have been built (or manually patched) 5\u00a0years later than the same executable in Office 2007, 2010, 2013 and\u00a02016\/365.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nHat Microsoft Zugriff auf Teile des Office-Quellcodes verloren?<\/a>
\nMS Office Build-In-Feature: Missbrauch per selbst-replizierender Malware m\u00f6glich<\/a>
\nMicrosoft Office Sicherheitsupdates (14. November 2017)<\/a>
\nMicrosoft Office Patchday (7. November 2017)<\/a>
\nDrittanbieter 0Patch f\u00fcr FoxIt-Sicherheitsl\u00fccke<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In Microsoft Office wird ein Formeleditor mitgeliefert, der eine Schwachstelle enth\u00e4lt. Nun ist bekannt geworden, dass Hacker genau diese L\u00fccke f\u00fcr Angriffe ausnutzen. Hier ein paar Informationen. Erg\u00e4nzung: Stellungnahme von opatch nachgetragen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[6671,4322,4328],"class_list":["post-197970","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-cve-2017-11882","tag-office","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/197970","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=197970"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/197970\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=197970"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=197970"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=197970"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}