27. Juli 2023 – Alexander Winterstein Allgemein

Zero-Day-Schwachstelle bei Microsoft Office

Am 11. Juli 2023 hat Microsoft eine Zero-Day-Schwachstelle in der Office-Suite bekanntgegeben, die aktiv ausgenutzt wird. Die Sicherheitslücke wurde unter der Nummer CVE-2023-36884 veröffentlicht und hinsichtlich ihrer Kritikalität mit einem CVSS-Score von 8.3 („hoch“) bewertet.

Sachverhalt

Ein entfernter Angreifer kann die Ausführung von Code aus der Ferne erreichen. Dazu muss das Opfer lediglich dazu gebracht werden, ein speziell präpariertes Microsoft Office-Dokument zu öffnen. Diese Dokumente schleußen Schadcode ein, der mit den Rechten der Opfer läuft.

Die Sicherheitslücke wird bereits ausgenutzt, teils auch von kriminellen Banden, die auf Ransomware-Angriffe und Cyber-Erpressung spezialisiert sind.

Maßnahmen

Für die Schwachstelle ist noch kein Patch verfügbar. Daher sollten die folgenden Maßnahmen genutzt werden, um die Ausnutzung der Schwachstelle zu verhindern:

  • Microsoft Office-Anwendungen das Erstellen von Child-Prozessen über „Attack Surface Reduction (ASR)“-Regeln verbieten
  • Registry-Schlüssel Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet

    Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION anlegen und die folgenden DWORD-Werte auf 1 setzen

    • Excel.exe
    • Graph.exe
    • MSAccess.exe
    • MsPub.exe
    • PowerPoint.exe
    • Visio.exe
    • WinProj.exe
    • WinWord.exe
    • Wordpad.exe
  • respektive Aktivieren der Richtlinie „Block all Office applications from creating child processes“

Laut Microsoft können nach dem Setzen der Registry-Werte bei speziellen Nutzungsszenarien Einschränkungen auftreten.

Die Verwendung von Microsoft Defender for Office 365 sowie Microsoft 365 Apps (ab Version 2302) sollen laut Microsoft bereits eine Ausnutzung der Schwachstelle durch präparierte Dokumente verhindern.

Weitere Informationen