"...ein speziell präpariertes Office-Dokument zu öffnen."

Leider wäre genau hier der wirklich wichtige Teil der Meldung gewesen.

Was ist hier "speziell präpariert"? Ein Makro? Oder reicht ein einfaches DOCX-Format?
Ist in das Dokument Code eingebettet und kann man dies erkennen?

Bitte einmal dem Nachgehen und die wichtigen Infos nachliefern, denn mit "nebulösen" speziellen Präparaten, kann sich niemand schützen...

Homeshopping schrieb:
--------------------------------------------------------------------------------
> Leider wäre genau hier der wirklich wichtige Teil der Meldung gewesen.
>
> Was ist hier "speziell präpariert"? Ein Makro? Oder reicht ein einfaches
> DOCX-Format?
> Ist in das Dokument Code eingebettet und kann man dies erkennen?
>
> Bitte einmal dem Nachgehen und die wichtigen Infos nachliefern, denn mit
> "nebulösen" speziellen Präparaten, kann sich niemand schützen...

und was für eine Interaktion ist notwendig

Solange die Sicherheitslücke nicht gepatcht ist, wäre eine Veröffentlichung derartiger Details doch irgendwie fahrlässig, da sie weiteren Angreifern Tür und Tor öffnet. Oder sehen Sie das anders?

Vielleicht veröffentlicht Microsoft im verlinkten Blogpost ja weitere Infos, sobald ein Patch draußen ist. Bis dahin würde ich eher hoffen, dass Details vorerst unter Verschluss bleiben.

DerArtikel von BleepingComputer erwähnt nebenbei MSDT. Was lustig ist, dass ist bei uns auch noch vom letzten Mal eingeschränkt.

MarcusK schrieb:
--------------------------------------------------------------------------------
> Homeshopping schrieb:
> ---------------------------------------------------------------------------
> -----
> > Leider wäre genau hier der wirklich wichtige Teil der Meldung gewesen.
> >
> > Was ist hier "speziell präpariert"? Ein Makro? Oder reicht ein einfaches
> > DOCX-Format?
> > Ist in das Dokument Code eingebettet und kann man dies erkennen?
> >
> > Bitte einmal dem Nachgehen und die wichtigen Infos nachliefern, denn mit
> > "nebulösen" speziellen Präparaten, kann sich niemand schützen...
>
> und was für eine Interaktion ist notwendig
Hörte sich hochtrabend an, ist aber im Artikel genannt:

Damit Hacker über die als CVE-2023-36884 getrackte Schwachstelle Zugriff auf das Windows-System einer Zielperson erhalten, müssen sie Letztere lediglich dazu animieren, ein speziell präpariertes Office-Dokument zu öffnen.
Mit Interaktion ist somit wohl lediglich gemeint, es reicht nicht, dass das Oper nur die Mail öffnen muss, nein, es muss auch noch das angehängte und präparierte Office Dokument öffnen.

coffee4free schrieb:
--------------------------------------------------------------------------------
> Solange die Sicherheitslücke nicht gepatcht ist, wäre eine Veröffentlichung
> derartiger Details doch irgendwie fahrlässig, da sie weiteren Angreifern
> Tür und Tor öffnet. Oder sehen Sie das anders?
Ja, sehe ich vollkommen anders.
Für andere Angreifer dürfte es nicht sonderlich schwer sein, entsprechende Informationen durch Recherche zu finden. Es hilft potentiellen Angreifern jetzt nicht sehr viel weiter, wenn sie wissen, das da ein Makro im Dokument sein muss das dann auch noch ausgeführt werden muss, oder ob das Dokument auf andere weise manipuliert sein muss. Alles weitere wissen weitere Angreifer auch nicht ohne die genauen Wege zu recherchieren. Da reicht aber schon allen die Info "Windows-Systeme sind aktuell durch Office-Dokumente angreifbar". Ups, da hat Microsoft jetzt wohl weiteren Angreifern mit dieser Info geholfen.
Dir als potentielles Opfer hilft es aber schon, wenn du weißt, dass dafür Makros ausgeführt werden müssen. Weil dann weißt du zumindest, dass du Dokumente, die keine Makros enthalten , gefahrlos öffnen kannst.

Deine Rückmeldung hat nun was von ihm beantwortet? Genau, nichts. Deswegen fragt er ja genau nach diesen Punkten. Das man da höchstwahrscheinlich ein Dokument öffnen muss ist klar...der Rest wäre aber trotzdem interessant.

Wenn die Sicherheitslücke bereits aktiv ausgenutzt wird, hilft es nicht mehr Details dazu unter Verschluss zu halten. Jetzt müssen alle informiert werden, dass es ein Problem gibt.

Infos jetzt noch zurückzuhalten wäre, aus meiner Sicht, grob fahrlässig.

Verifizierter Top 500 Poster!

Signatur von quineloe geklaut!

coffee4free schrieb:
--------------------------------------------------------------------------------
> Solange die Sicherheitslücke nicht gepatcht ist, wäre eine Veröffentlichung
> derartiger Details doch irgendwie fahrlässig, da sie weiteren Angreifern
> Tür und Tor öffnet. Oder sehen Sie das anders?

Das Gegenteil ist der Fall. Fahrlaessig ist es, *keine* Details zu veroeffentlichen.

Es geht um einen Bug der da ist und aktiv ausgenutzt wird. Durch Details wird diese Angriffsflaeche nicht vergroessert. Es wird schlimmstenfalls die Zielgruppe vergroessert, was auch von sich aus passieren kann. Die wiederum laesst sich aber im Gegenzug schuetzen, indem man ihr beispielsweise (mal wieder) sagt "ihr duerft keine Makros ausfuehren", "ihr duerft nicht auf xyz klicken" oder "ihr duerft ueberhaupt keine Office Dokumente mehr oeffnen".


> Vielleicht veröffentlicht Microsoft im verlinkten Blogpost ja weitere
> Infos, sobald ein Patch draußen ist. Bis dahin würde ich eher hoffen, dass
> Details vorerst unter Verschluss bleiben.

Klar, *diesmal* funktioniert security by obscurity ganz bestimmt. Versprochen.

coffee4free schrieb:
--------------------------------------------------------------------------------
> Solange die Sicherheitslücke nicht gepatcht ist, wäre eine Veröffentlichung
> derartiger Details doch irgendwie fahrlässig, da sie weiteren Angreifern
> Tür und Tor öffnet. Oder sehen Sie das anders?
>
> Vielleicht veröffentlicht Microsoft im verlinkten Blogpost ja weitere
> Infos, sobald ein Patch draußen ist. Bis dahin würde ich eher hoffen, dass
> Details vorerst unter Verschluss bleiben.

Allgemein werden solche Sicherheitslücken immer gemeldet, meist vom Unternehmen selbst (hier MS), daher auch die CVE-2023-36884. Genauere Details zur Lücke wird MS erst bekanntgegeben, wenn diese zuverlässig mit einem Patch gestopft ist. Die Lücke ist ja erst seit Dienstag bekannt/gefunden worden. Über die Googlesuche mit der CVE-Nummer findet man einige Informationen dazu, unter anderem auch die BSI Warnung von gestern.

Zur Lücke selbst, es scheint kein Makro zu sein, da die Ausführung auch ohne Makroaktivierung funktioniert. Es muss nur „Bearbeitung aktivieren“ vom Nutzer zugelassen werden um den Schadcode (mutmaßlich HTML im Dokument) auszuführen. Mehr Infos dazu habe ich bisher nicht gefunden.

Da es eine Day-0 Lücke ist, die normalerweise von Hackergruppen nicht für 0815 Angriffe verwendet werden, ist es gut möglich das es die Lücke schon seit längerer Zeit gibt, aber nicht aktiv bei bisherigen Angriffen verwendet worden ist.

Edit: Inzwischen würde ich es nicht mehr als fahrlässig ansehen, genauere Informationen zu der Lücke raus zu geben. Die meisten Unternehmen werden die vorläufige Lösung von MS schon umgesetzt haben. Somit ist Lücke eigentlich „verbrannte Erde“, da wahrscheinlich in den nächsten Tage auch allgemeinere Newsseiten davon berichten werden. Damit ist das eigentlich Ziel, unbemerkt den Angriff durchzuführen mehr oder minder verpufft…



1 mal bearbeitet, zuletzt am 13.07.23 11:54 durch CooperMan.

>Die meisten Unternehmen werden die vorläufige Lösung von MS schon umgesetzt haben.



dein ernst? die meisten unternehmen werden davon NICHT MAL GEHÖRT haben...