{"id":199077,"date":"2017-12-30T09:22:00","date_gmt":"2017-12-30T08:22:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=199077"},"modified":"2020-02-19T23:09:29","modified_gmt":"2020-02-19T22:09:29","slug":"sicherheit-microsofts-word-dde-patch-teilweise-wirkungslos","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/12\/30\/sicherheit-microsofts-word-dde-patch-teilweise-wirkungslos\/","title":{"rendered":"Microsofts (Word) DDE-Patch teilweise wirkungslos?"},"content":{"rendered":"

[English<\/a>]Im Dezember 2017 hat Microsoft Sicherheits-Updates f\u00fcr Microsoft Office herausgebracht, mit dem die DDE-Funktionalit\u00e4t deaktiviert werden sollte. M\u00f6glicherweise ist die Sicherheitsl\u00fccke aber nicht komplett abgedichtet, da eine neue Malware-Kampagne die DDE-Schwachstelle adressiert.<\/p>\n

<\/p>\n

Die DDE-Schwachstelle in Word<\/h2>\n

\"\"Zuerst ein paar Worte, um was es eigentlich geht. In Microsoft Office gibt es verschiedene Methoden zum \u00dcbertragen von Daten zwischen Anwendungen. Beim DDE-Protokoll handelt es sich um eine Sammlung von Meldungen und Richtlinien. Es erm\u00f6glicht Nachrichten zwischen Anwendungen zu senden, Daten gemeinsam nutzen, und verwendet Shared Memory, um Daten zwischen Anwendungen auszutauschen. Anwendungen k\u00f6nnen das DDE-Protokoll f\u00fcr den einmaligen Datentransfer und f\u00fcr den kontinuierlichen Austausch nutzen, bei dem Anwendungen sich gegenseitig Aktualisierungen senden, sobald neue Daten zur Verf\u00fcgung stehen.<\/p>\n

In den Microsoft Office-Modulen, die die DDE-Schnittstelle unterst\u00fctzen gibt es eine Schwachstelle. Dieser Blog-Beitrag<\/a> (Englisch) erkl\u00e4rt die DDE-Angriffstechnik. Im Blog-Beitrag Word DDE-Schwachstelle wird aktiv ausgenutzt<\/a> hatte ich darauf hingewiesen, dass es wohl Malware-Angriffswellen gibt, die eine DDE-Schwachstelle in Microsoft Word ausnutzen, um Schadsoftware zu verteilen. Auch dieser Foreneintrag<\/a> dokumentiert diesen Angriffsweg. Es reicht eine kompromittierte Word-Dokumentdatei zu \u00f6ffnen, um \u00fcber die DDE-Schnittstelle die Malware herunterzuladen und auszuf\u00fchren.<\/p>\n

Sicherheits-Advisory und Sicherheits-Patch f\u00fcr DDE<\/h2>\n

Die Schwachstelle wird aktiv von der russischen Hackergruppe Fancy Bear in Malware-Kampagnen ausgenutzt. Microsoft sah sich daher veranlasst, ein Advisory zum Abschalten der DDE-Funktionalit\u00e4t zu ver\u00f6ffentlichen. Ich hatte im Blog-Beitrag Microsoft Sicherheits-Ratschlag 4053440 zur DDE-L\u00fccke<\/a> dar\u00fcber berichtet.<\/p>\n

Im Rahmen des Dezember 2017-Patchday hat Microsoft dann Sicherheitsupdates f\u00fcr Word 2017 (KB4011575<\/a>) bis Word 2007 freigegeben, die die DDE-Funktionalit\u00e4t deaktivieren sollen (siehe die Word-Updates im Blog-Beitrag Patchday: MS Office Sicherheitsupdates (12. Dezember 2017)<\/a>).<\/p>\n

DDE-Exploit nicht ganz geschlossen?<\/h2>\n

Mein Kenntnisstand war bisher, dass damit die DDE-Schwachstelle geschlossen sei. \u00dcber MVP-Kollegen bin ich dann aber auf den Artikel DDE exploits still happening despite Microsoft updates to stop them<\/a> vom 25. Dezember 2017 gesto\u00dfen. Der Autor des Beitrags schreibt, dass es noch immer Malware-Kampagnen g\u00e4be, die den DDE-Exploit verwenden.<\/p>\n

Diese Angriffe unterscheiden sich etwas von fr\u00fcheren Versionen und die Word-Dokumente enthalten Makros mit einem sehr einfachen, Base64-kodierten PowerShell-Skript, das den DDE-Exploit enth\u00e4lt. Bei der Verwendung eines Office Malscanner wird das Makro nur mit einem DDE-Auto-Befehl und nicht mit einem separaten eingebetteten DDE-Objekt angezeigt, wie es in den Vorg\u00e4ngerversionen der Fall war.<\/p>\n

Die Original-E-Mail wurde am 22. Dezember 2017 in das Anmeldesystem von myonlinesecurity.co.uk hochgeladen. Der Autor des Blog-Beitrags hat die Links in der betreffenden E-Mail in den letzten Tagen mehrmals ausprobiert. Allerdings gab es immer einen Timeout als Antwort. Das galt selbst f\u00fcr zahlreiche Proxy-Server, die er weltweit testete (um einen regionsabh\u00e4ngigen Trigger auszuschlie\u00dfen). Am 25. Dezember 2017 erhielt er tats\u00e4chlich eine Antwort auf den angeklickten Link. Es wurde ein b\u00f6sartige Word-Dokument mit einem DDE-Exploit im Makro von der Zielseite heruntergeladen.<\/p>\n

Der urspr\u00fcngliche Uploader der Mail dachte, dass es sich um eine Phishing-E-Mail handele, da ihm auch keine Payload zugestellt wurde. Die E-Mail gibt vor, von Ebay zu sein und fordert dem Empf\u00e4nger auf, eine Rechnung herunterzuladen.<\/p>\n

(Zum Vergr\u00f6\u00dfern klicken, Quelle: myonlinesecurity.co.uk)<\/p>\n

Leider geben die Websites, die die PowerShell kontaktiert, bis zum 25.12. eine 404-Antwort zur\u00fcck. Dem Sicherheitsforscher ist es daher nicht gelungen, herauszufinden, wie die letztendliche Nutzlast aussieht. Der Sicherheitsforscher hat daher den Beitrag als allgemeinen Informationspost \u00fcber die Verwendung von DDE in Makros publiziert. Denn scheinbar ist hinter den Kulissen jemand damit besch\u00e4ftigt, eine neue Malware-Kampagne f\u00fcr einen DDE-Exploit aufzusetzen, der noch mit gepatchten Word-Versionen funktioniert. Administratoren in Unternehmen sollten das Thema also im Auge behalten. Weitere Details und Erl\u00e4uterungen samt Screenshots der E-Mails finden sich hier<\/a>.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Word DDE-Schwachstelle wird aktiv ausgenutzt<\/a>
\nSicherheit: Outlook patzt, Malware trotz Office Makrosperre ausf\u00fchrbar<\/a> Undokumentiertes Word-Features f\u00fcr Angriffe benutzt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Im Dezember 2017 hat Microsoft Sicherheits-Updates f\u00fcr Microsoft Office herausgebracht, mit dem die DDE-Funktionalit\u00e4t deaktiviert werden sollte. M\u00f6glicherweise ist die Sicherheitsl\u00fccke aber nicht komplett abgedichtet, da eine neue Malware-Kampagne die DDE-Schwachstelle adressiert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,185],"tags":[6713,5882,4322,4328,4315],"class_list":["post-199077","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-update","tag-dde","tag-microsoft-word","tag-office","tag-sicherheit","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/199077","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=199077"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/199077\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=199077"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=199077"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=199077"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}