Office

Bild: Wachiwit / Shutterstock.com

Kürzlich entdeckten Forscher von Mimecast eine weitere Sicherheitslücke in Microsofts Office-Produkten namens MDB Leaker. Diese erforderte einen Patch (CVE-2019-1463), der am 10. Dezember 2019 in der Datenbankanwendung Access aufgespielt wurde. 

Die Forscher enthüllten bereits im Januar 2019 die Sicherheitslücke CVE-2019-0560, eine ähnliche Schwachstelle in Microsoft Office-Produkten.

Wenn diese Sicherheitslücke nicht gepatcht wird, laufen über 85.000 Unternehmen Gefahr, Opfer eines Datenlecks zu werden. Hierbei können auch vertrauliche und geschäftskritische Daten verloren gehen und in die Hände unberechtigter Dritter gelangen. Zum jetzigen Zeitpunkt ist dem Labor jedoch keine tatsächliche Gefährdung aufgrund dieser Schwachstelle bekannt.

Die beiden Sicherheitslücken weisen eine gewisse Ähnlichkeit zueinander auf: Grund war ein häufig vorkommender Programmierfehler – in diesem Fall die unsachgemäße Verwaltung des Systemspeichers durch eine Anwendung, die zur unbeabsichtigten Offenlegung sensibler oder privater Daten führen könnte.

False Positives können gut sein

Während falsche Negativmeldungen, wie fehlende bösartige Dateien oder E-Mails, immer minimiert werden sollten, sind nicht alle falschen Positivmeldungen von Natur aus schlecht. Bei MDB Leaker beispielsweise erwies sich, wie bei der Microsoft Office-Schwachstelle vom Januar 2019, die Meldung eines potenziellen Fehlalarms als entscheidend für diese Entdeckung.

Nachdem sie einen False Positive für eine bestimmte Microsoft Access-Datei erhalten hatten, die durch eine statische Dateianalyse gekennzeichnet wurde, stellten die Mimecast-Forscher fest, dass es Codefragmente in einem Dateityp gab, der eindeutig nur für Daten bestimmt ist, nämlich einer Microsoft Access-MDB-Datei. Von dort aus vermutete das Team, dass der Systemspeicher in der Microsoft Access-Anwendung falsch verwaltet wurde. So konnten sie feststellen, dass es sich um einen reproduzierbaren Fehler handelte, der in mehreren älteren Versionen der Microsoft Access-Datenbankanwendung enthalten war.

Was ist das Gefahrenpotenzial?

MDB Leaker scheint nahezu identisch mit dem Anfang 2019 vom Labor entdeckten Office-Leck im Speicher zu sein, das dazu führt, dass der Inhalt von nicht initiierten Speicherelementen in jeder Datei – zumindest seit Access 2002 – gespeichert wird, die mit einer nicht gepatchten Version der Microsoft Access-Datenbank gespeichert wurde. In vielen Fällen können aufgrund der Zufälligkeit des Speicherinhalts, gespeicherten Daten oft nur wertlose Inhaltsfragmente sein. Dies muss jedoch nicht immer der Fall sein.

In einigen Fällen können die unbeabsichtigt in der MDB-Datei gespeicherten Daten sensible Informationen wie Kennwörter, Zertifikate, Webanfragen und Domänen-/Benutzerinformationen sein. Mit anderen Worten ist ein Speicher-Link keine inhärente Sicherheitslücke. Vielmehr ist das was das Speicherleck verursachen kann, das eigentliche Problem. Vor diesem Hintergrund empfiehlt das Labor allen Benutzern der Microsoft Access-Datenbank, ihre Anwendungen auf die Lücke hin zu überprüfen.

Wenn ein Hacker in der Lage war, auf einen Rechner zu gelangen, der MDB-Dateien enthielt oder an große Mengen von MDB-Dateien gelangen konnte, könnte er eine automatische Suche durch alle diese Dateien durchführen, um vertrauliche Informationen in diesen Dateien zu finden und zu sammeln. Im zweiten Schritt könnte er sie auf vielfältige Weise nutzen und zu monetarisieren versuchen.

Glücklicherweise hat das Mimecast Research Lab bisher noch keine Ausnutzung dieser Sicherheitslücke in freier Wildbahn gesehen. Benutzer, die die potenzielle Sicherheitslücke nicht patchen, könnten anfällig für Angriffe sein. Um dies zu vermeiden, können die unten aufgeführten bewährten Sicherheitsverfahren beachtet werden. Zudem gilt es, die ausführbaren Dateien der Microsoft Access-Datenbank so schnell wie möglich zu patchen.

Empfohlene Sicherheitsverfahren:

  • Verwendung eines E-Mail-Sicherheitssystem mit ausgefeilten Malware-Erkennungsfunktionen, das sowohl statische Dateianalysen als auch Sandboxing umfasst, um bösartige Dateien vom Eindringen in das Unternehmen und sensible Inhalte vom Verlassen des Unternehmens abzuhalten.
  • Installation von Patches und Updates für IT-Systeme und Anwendungen auf Sicherheitslücken, sobald diese vom IT-Anbieter zur Verfügung gestellt werden. Zudem sollten Systeme und Applikationen einer regelmäßigen Überwachung unterliegen.
  • Untersuchung des Netzwerkverkehrs auf Verbindungen zu Command-and-Control-Diensten und auf die Exfiltration potenziell sensibler Dateien.
  • Kontinuierliche Aktualisierung des Endpunktsicherheitssystems, um rechtzeitig bösartige Software erkennen zu können.

www.mimecast.com


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Bank

Hacking und Malware als Hauptursachen der Datenschutzverletzungen im Finanzwesen

Cloud-Security-Anbieter Bitglass hat seinen aktuellen Bericht zu Datenschutzverletzungen im Finanzwesen 2019 veröffentlicht. Jedes Jahr analysiert Bitglass die neuesten Trends, größten Verstöße und gravierendsten Bedrohungen bei…
Smart Home Security

Tipps für mehr Sicherheit im Smart Home

Rund neun Millionen Haushalte in Deutschland sind nach Schätzungen des Statista Digital Market Outlooks bereits „smart“, das heißt vernetzt, zentral steuer- und programmierbar. Bis zum Jahr 2023 soll die Zahl der Smart Homes auf 13,5 Millionen steigen.
Malware

Top Malware für Januar 2020: Corona-Virus als Spam

Check Point Research (NASDAQ: CHKP), hat seinen Global Threat Index für Januar 2020 veröffentlicht. Die Experten berichten, dass Emotet bereits im vierten Monat in Folge die führende Malware ist und sich derzeit mit der Hilfe einer Spam-Kampagne zum…
Herzen

Saisonale Betrügereien: Ausgabe Valentinstag

Romantische, aber auch das Vertrauen brechende Betrügereien verursachen sowohl emotionale als auch finanzielle Schmerzen. Ein Statement von Jelle Wieringa, Security Awareness Advocate bei KnowBe4.
Tb W250 H150 Crop Int 1f22abfe6e08d1f054b6663556039815

Phishing und Malware: Coronavirus auch per E-Mail gefährlich

Täglich tauchen Meldungen zu neuen Infektionsfällen mit dem grassierenden Coronavirus auf. Die Bilder von abgeriegelten Städten und Menschen in Quarantäne zeichnen ein Schreckensszenario. Doch nicht nur in der analogen Welt ist das Virus ein Risiko: Die…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!