Kritische Zero-Day-Schwachstelle in Microsoft-Office

Jochen
von Jochen
17.07.2023
01:30 MIN

Microsoft gab eine Zero-Day-Schwachstelle in Microsoft Office bekannt, die aktiv ausgenutzt wird. Sie wurde unter der Nummer CVE-2023-36884 veröffentlicht und mit der Kritikalität „hoch“ bewertet.

Laut Microsoft kann ein Angreifer von außerhalb die Kontrolle über Ihren Computer erlangen, indem er Sie dazu bringt, ein speziell präpariertes Microsoft-Office-Dokument zu öffnen, das Schadcode ausführt.

Phishing-Kampagne der cyberkriminellen Gruppierung Storm-0978

Microsoft berichtet von einer Phishing-Kampagne, die die obengenannte Zero-Day-Schwachstelle ausnutzt. Die Bedrohungsgruppe Storm-0978 soll Phishing-Mails versendet haben, um Angriffe auf Verteidigungs- und Regierungsorganisationen in Nordamerika und Europa durchzuführen. Die Phishing-Mails enthielten präparierte Word-Dokumente und stellten im Betreff einen Bezug zum Ukrainischen Weltkongress her.

Storm-0978 ist eine Cyberkriminelle-Gruppe aus Russland, die opportunistische Ransomware- und Erpressungsoperationen durchführt. Gezielte Kampagnen zur Erfassung von Zugangsdaten gehen ebenfalls auf ihr Konto. Sie ist für die Verwendung ihrer Backdoor „RomCom“ bekannt und unterstützt vermutlich Geheimdienstoperationen. Die jüngste Kampagne verbreitet ebenfalls eine Backdoor, die RomCom ähnlich ist.

Was Sie dagegen tun können

Für die Schwachstelle ist aktuell kein Patch verfügbar. Microsoft und das BSI empfehlen, eine der folgenden beiden Maßnahmen umzusetzen:

1. Entweder verbieten Sie allen Microsoft-Office-Anwendungen das Erstellen von Child-Prozessen über die "Attack Surface Reduction (ASR)"-Regeln

2. Oder Sie legen unter dem Registry-Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION neue DWORD-Werte mit den folgenden Namen der Office-Programmdateien an und setzen Sie diese jeweils auf eins:

  • Excel.exe
  • Graph.exe
  • MSAccess.exe
  • MSPub.exe
  • Powerpnt.exe
  • Visio.exe
  • WinProj.exe
  • WinWord.exe
  • Wordpad.exe

zum offiziellen Statement von Microsoft

 

Mögliche Folge der Sicherheitsmaßnahme

Der halbjährliche erweiterte Kanal für Office365 (insbesondere die Versionen 2208 und 2202) ist betroffen. Der halbjährliche erweiterte Kanal für Microsoft 365 Apps (insbesondere die Versionen 2208 und 2202) ist betroffen. Der halbjährliche erweiterte Kanal für Microsoft 365 Apps, Version 2302, (und alle späteren Versionen) ist jedoch vor dieser Sicherheitsanfälligkeit geschützt.

Microsoft warnt davor, dass nach dem Festlegen der genannten Registry-Werte bestimmte Nutzungsszenarien eingeschränkt sein könnten. In diesem Fall ist es jedoch ratsam, das Risiko durch die Schwachstelle höher zu bewerten als die möglichen Einschränkungen. Sobald der entsprechende Patch veröffentlicht und installiert wurde, können die Registry-Werte wieder in ihren ursprünglichen Zustand zurückgesetzt werden.

Sollten Sie Fragen dazu haben oder Unterstützung brauchen, stehen wir Ihnen gerne mit Rat und Tat zur Seite.

Wie können wir Ihnen helfen?

Wie können wir Ihnen helfen?