{"id":208522,"date":"2018-08-30T00:46:02","date_gmt":"2018-08-29T22:46:02","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=208522"},"modified":"2021-11-10T11:42:09","modified_gmt":"2021-11-10T10:42:09","slug":"neue-microsoft-office-schwachstellen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/08\/30\/neue-microsoft-office-schwachstellen\/","title":{"rendered":"Neue Microsoft Office Schwachstellen?"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Office1.jpg\" width=\"55\" height=\"60\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2018\/08\/30\/new-microsoft-office-vulnerabilities\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Wie es ausschaut, gibt es in allen Versionen von Microsoft Office Schwachstellen durch eingebettete Objekte, \u00fcber die sich (remote) Code auf einer lokalen Maschine ausf\u00fchren l\u00e4sst. Hier ein \u00dcberblick \u00fcber das Thema \u2013 als Info f\u00fcr Admins im Unternehmensumfeld.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/8bb32964c6c742c8a726697d723f2e81\" alt=\"\" width=\"1\" height=\"1\" \/>Ich wurde vor wenigen Stunden durch einen Tweet von Sicherheits-Experte Kevin Beaumont auf das Thema aufmerksam.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Speaking of Microsoft 0day, here's a new Office code execution technique (all versions) which MS aren't planning to fix by <a href=\"https:\/\/twitter.com\/yorickkoster?ref_src=twsrc%5Etfw\">@yorickkoster<\/a> <a href=\"https:\/\/t.co\/JvAsj1QJdo\">https:\/\/t.co\/JvAsj1QJdo<\/a> <a href=\"https:\/\/t.co\/f7mROqf8JC\">pic.twitter.com\/f7mROqf8JC<\/a><\/p>\n<p>\u2014 Kevin Beaumont (@GossiTheDog) 28. August 2018<\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Es l\u00e4sst sich offenbar Code \u00fcber ein Word-Dokument dazu missbrauchen, Programme und Befehle auszuf\u00fchren. Dort wird diskutiert, ob das neu oder alt sei \u2013 wobei sich herauskristallisiert, dass neue Angriffsvektoren entdeckt wurden. Im Blog securify.nl hat Yorick Koster die Details im Beitrag <a href=\"https:\/\/web.archive.org\/web\/20180829050233\/https:\/\/securify.nl\/blog\/SFY20180801\/click-me-if-you-can_-office-social-engineering-with-embedded-objects.html\" target=\"_blank\" rel=\"noopener noreferrer\">Click me if you can, Office social engineering with embedded objects<\/a> zusammen getragen.<\/p>\n<h2>Eingebettete Objekte in Office-Dokumenten<\/h2>\n<p>Der Angriffsvektor ist nicht wirklich neu, die gr\u00f6\u00dfte Schwachstelle in Microsoft Office stellen die M\u00f6glichkeiten dar, Objekte in Dokumente einzubetten und dann deren Funktionen f\u00fcr Angriffe zu missbrauchen. Yorick Koster hat in seinem Blog-Beitrag einige Ans\u00e4tze zusammen getragen und weist dabei auf neue Bedrohungen hin.<\/p>\n<h3>Das Objekt Shell.Explorer.1<\/h3>\n<p>Das <em>Shell.Explorer.1<\/em> OLE-Objekt (CLSID <em>{EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B}<\/em>) fungiert in Office-Dokumenten als eingebetteter Windows Explorer oder eingebetteter Internet Explorer. Wird dieses OLE-Objekt in Office-Dokumente eingebettet, wird es als persistentes Objekt im Dokument gespeichert. Dabei wird ein propriet\u00e4res Format zum Speichern des persistenten Shell.Explorer.1-Objekts verwendet. Koster ist eine bekannte Struktur bei Offset 76 (0x4C) aufgefallen, aus der er schlie\u00dft, dass dort eine ShellLink (LNK)-Struktur gespeichert wird.<\/p>\n<p>Wird ein Ordnerpfad angegeben, verh\u00e4lt sich das Objekt wie der Windows Explorer. Es ist m\u00f6glich, durch Dateien oder Ordner zu bl\u00e4ttern und sogar Dateien per Doppelklick auszuf\u00fchren. Missbraucht ein Angreifer dies und bettete den Windows Explorer in ein Office-Dokument ein, lie\u00dfe sich eine entfernte Freigabe mit einer eine ausf\u00fchrbaren Datei \u00f6ffnen. Allerdings ist der Angriff schwierig, denn das Opfer m\u00fcsste davon \u00fcberzeugt werden, eine vom Angreifer kontrollierte Datei aus der Freigabe per Doppelklick zu \u00f6ffnen. Das setzt auch voraus, dass das Objekt vom Opfer aktiviert werden muss. Dann lie\u00dfe sich allerdings Code von dieser entfernten Freigabe ausf\u00fchren.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Word mit eingebettetem Explorer\" src=\"https:\/\/web.archive.org\/web\/20180829050237\/https:\/\/securify.nl\/blog\/SFY20180801\/embedded-windows-explorer.png\" alt=\"Word mit eingebettetem Explorer\" width=\"641\" height=\"401\" \/><br \/>\n(Quelle: securify.nl)<\/p>\n<p>Das Einbetten eines Windows-Explorer-Objekts kann aber in Situationen sinnvoll sein, in denen die Administratoren den Zugriff auf bestimmte Ordner oder Laufwerke eingeschr\u00e4nkt haben. Ist beispielsweise der Zugriff auf das Laufwerk C: eingeschr\u00e4nkt, kann ein lokaler Benutzer laut Yorick Koster ein Office-Dokument mit eingebettetem Windows Explorer verwenden, um diese Einschr\u00e4nkung zu umgehen.<\/p>\n<h2>Internet Explorer als eingebettetes Objekt<\/h2>\n<p>Yorick Koster beschreibt ein interessanteres Szenario, wenn das <em>Shell.Explorer.1<\/em>-Objekt als eingebetteter Internet Explorer fungiert. Neben der M\u00f6glichkeit, einen Webbrowser in ein Dokument einzubetten, erm\u00f6glicht es auch das Durchsuchen von Dateien auf dem lokalen Rechner und das Durchsuchen von Dateien an entfernten Standorten (Freigaben und Websites). Dies ist ohne Benutzerinteraktion nicht m\u00f6glich.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Download aus Word mit eingebettetem Internet Explorer\" src=\"https:\/\/web.archive.org\/web\/20180829050237\/https:\/\/securify.nl\/blog\/SFY20180801\/File-Download-dialog.png\" alt=\"Download aus Word mit eingebettetem Internet Explorer\" width=\"640\" height=\"401\" \/><br \/>\n(Quelle: securify.nl)<\/p>\n<p>Es ist zwar ein Klicken zum Aktivieren in diesem Modus erforderlich. Der Klick auf das Objekt l\u00f6st aber die Datei-Download-Funktionalit\u00e4t des Internet Explorers aus, so dass dem Benutzer ein Datei-Download-Dialog angezeigt wird. Klickt der Benutzer auf <em>Ausf\u00fchren <\/em>oder <em>\u00d6ffnen <\/em>klickt (je nach Dateiformat), wird die Datei ausgef\u00fchrt. Einige Dateitypen (wie .exe-Dateien) l\u00f6sen zwar eine Warnung in einem Dialogfeld aus. Dies lie\u00dfe sich aber \u00fcber andere Dateitypen vermeiden. Im Blog-Beitrag wird <em>SettingContent-ms <\/em>angegeben. Diese Schwachstelle (siehe <a href=\"https:\/\/borncity.com\/blog\/2018\/06\/27\/windows-10-schwachstelle-settingcontent-ms\/\">Windows 10: Schwachstelle .SettingContent-ms<\/a>) wurde m.W. aber k\u00fcrzlich durch Microsoft geschlossen (siehe <a href=\"https:\/\/borncity.com\/blog\/2018\/07\/30\/microsoft-sicherheitssplitter-30-7-2018\/\">Microsoft-Sicherheitssplitter 30.7.2018<\/a>). Aber Koster f\u00fchrt aus, dass auch andere Dateitypen in diesem Zusammenhang funktionieren.<\/p>\n<h2>Proof of Concept per PowerShell<\/h2>\n<p>Yorick Koster stellt auf seiner Webseite ein Proof of Concept (PoC) bereit. Per PowerShell wird versucht, ein Word-Dokument mit eingebettetem Internet Explorer anzulegen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Demo des PoC Word-Shell.Explorer.1-Angriff\" src=\"https:\/\/web.archive.org\/web\/20180829050237\/https:\/\/securify.nl\/blog\/SFY20180801\/Shell.Explorer.1-demo.gif\" alt=\"Demo des PoC Word-Shell.Explorer.1-Angriff\" width=\"640\" height=\"480\" \/><br \/>\n(Quelle: securify.nl)<\/p>\n<p>\u00d6ffnet der Nutzer das Word-Dokument und klickt auf das eingebettete Objekt, erscheint eine Warnung. Best\u00e4tigt er diese mit \u00d6ffnen, wird der Rechner von Windows ge\u00f6ffnet. Das PoC muss dann nur noch mit geeigneten Methoden an den Nutzer gebracht werden. Neu an diesem Szenario wohl die M\u00f6glichkeit, auch eine URL mit den 'b\u00f6sen' Dateien in einem Word-Dokument einzubetten.<\/p>\n<p>Yorick Koster beschreibt in <a href=\"https:\/\/web.archive.org\/web\/20180829050233\/https:\/\/securify.nl\/blog\/SFY20180801\/click-me-if-you-can_-office-social-engineering-with-embedded-objects.html\" target=\"_blank\" rel=\"noopener noreferrer\">seinem Blog-Beitrag<\/a> weitere Szenarien unter Verwendung des Microsoft Forms 2.0 HTML Control. Er weist auch darauf hin, dass aus dem Web geladene Inhalte \u00fcblicherweise entsprechend markiert sind und daher im gesch\u00fctzten Anzeigemodus in Office geladen werden. Dann sind die betreffenden Objekte blockiert und k\u00f6nnen nicht ausgef\u00fchrt werden. Administratoren in Unternehmensumgebungen sollten sich den Original Blog-Beitrag von Kostner aber durchlesen, um vor solchen Szenarien ggf. gewappnet zu sein. Wie ich den Tweet von Kevin Beaumont interpretiere, ist nicht mit einem Patch von Microsoft zu rechnen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/08\/29\/apache-struts-schwachstelle-cve-2018-11776-aktiv-genutzt\/\">Apache Struts-Schwachstelle CVE-2018-11776 aktiv genutzt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/08\/29\/neue-schwachstelle-in-openssh-gefunden\/\">Neue Schwachstelle in OpenSSH gefunden (24.8.2018)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/08\/23\/turning-tables-bypass-fr-windows-kernel-schutz\/\">\"Turning Tables\" Bypass f\u00fcr Windows Kernel-Schutz<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/08\/28\/neue-windows-alpc-zero-day-schwachstelle-entdeckt\/\">Neue Windows ALPC Zero-Day-Schwachstelle entdeckt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/08\/28\/chaos-tage-microsoft-microcode-updates-zurckgezogen\/\">Chaos-Tage: Microsoft Microcode-Updates zur\u00fcckgezogen?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Wie es ausschaut, gibt es in allen Versionen von Microsoft Office Schwachstellen durch eingebettete Objekte, \u00fcber die sich (remote) Code auf einer lokalen Maschine ausf\u00fchren l\u00e4sst. Hier ein \u00dcberblick \u00fcber das Thema \u2013 als Info f\u00fcr Admins im Unternehmensumfeld.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[4322,4328],"class_list":["post-208522","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-office","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208522","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=208522"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/208522\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=208522"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=208522"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=208522"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}