Business Security, Schutzprogramme, Sicher & Anonym

Sicherheitslücke in Microsoft Office-Produkten

Sicherheitslücken schließen - Ausführbaren Dateien der Microsoft Access-Datenbank so schnell wie möglich patchen

Kürzlich entdeckten Forscher von Mimecast, einem Anbieter von E-Mail-Security und Archiving-Lösungen, eine weitere Sicherheitslücke in Microsofts Office-Produkten namens MDB Leaker. Diese erforderte einen Patch (CVE-2019-1463), der am 10. Dezember 2019 in der Datenbankanwendung Access aufgespielt wurde.

Wenn diese Sicherheitslücke nicht gepatcht wird, laufen über 85.000 Unternehmen Gefahr, Opfer eines Datenlecks zu werden. Hierbei können auch vertrauliche und geschäftskritische Daten verloren gehen und in die Hände unberechtigter Dritter gelangen. Zum jetzigen Zeitpunkt ist dem Labor jedoch keine tatsächliche Gefährdung aufgrund dieser Schwachstelle bekannt.

Falsche Positivmeldung können gut sein

Während falsche Negativmeldungen, wie fehlende bösartige Dateien oder E-Mails, immer minimiert werden sollten, sind nicht alle falschen Positivmeldungen von Natur aus schlecht. Bei MDB Leaker beispielsweise erwies sich, wie bei der Microsoft Office-Schwachstelle vom Januar 2019, die Meldung eines potenziellen Fehlalarms als entscheidend für diese Entdeckung. Nachdem sie einen False Positive für eine bestimmte Microsoft Access-Datei erhalten hatten, die durch eine statische Dateianalyse gekennzeichnet wurde, stellten die Mimecast-Forscher fest, dass es Codefragmente in einem Dateityp gab, der eindeutig nur für Daten bestimmt ist, nämlich einer Microsoft Access-MDB-Datei. Von dort aus vermutete das Team, dass der Systemspeicher in der Microsoft Access-Anwendung falsch verwaltet wurde. So konnten sie feststellen, dass es sich um einen reproduzierbaren Fehler handelte, der in mehreren älteren Versionen der Microsoft Access-Datenbankanwendung enthalten war.

Hier lauert die Gefahr

MDB Leaker scheint nahezu identisch mit dem Anfang 2019 vom Labor entdeckten Office-Leck im Speicher zu sein, das dazu führt, dass der Inhalt von nicht initiierten Speicherelementen in jeder Datei gespeichert wird, die mit einer nicht gepatchten Version der Microsoft Access-Datenbank gespeichert wurde. In vielen Fällen können aufgrund der Zufälligkeit des Speicherinhalts, gespeicherten Daten oft nur wertlose Inhaltsfragmente sein. Dies muss jedoch nicht immer der Fall sein.

Ein Speicher-Link ist keine inhärente Sicherheitslücke. Vielmehr ist das was das Speicherleck verursachen kann, das eigentliche Problem. Vor diesem Hintergrund empfiehlt das Labor allen Benutzern der Microsoft Access-Datenbank, ihre Anwendungen auf die Lücke hin zu überprüfen.

Wenn ein Hacker in der Lage war, auf einen Rechner zu gelangen, der MDB-Dateien enthielt oder an große Mengen von MDB-Dateien gelangen konnte, könnte er eine automatische Suche durch alle diese Dateien durchführen, um vertrauliche Informationen in diesen Dateien zu finden und zu sammeln. Im zweiten Schritt könnte er sie auf vielfältige Weise nutzen und zu monetarisieren versuchen. Benutzer, die die potenzielle Sicherheitslücke nicht patchen, könnten anfällig für Angriffe sein.

Empfohlene Sicherheitsverfahren:

  • Verwendung eines E-Mail-Sicherheitssystem mit ausgefeilten Malware-Erkennungsfunktionen.
  • Installation von Patches und Updates. Zudem sollten Systeme und Applikationen einer regelmäßigen Überwachung unterliegen.
  • Untersuchung des Netzwerkverkehrs auf Verbindungen zu Command-and-Control-Diensten und auf die Exfiltration potenziell sensibler Dateien.
  • Kontinuierliche Aktualisierung des Endpunktsicherheitssystems, um rechtzeitig bösartige Software erkennen zu können.

Weitere Informationen

Hier geht es zu Mimecast

Unternehmenssicherheit

Mobile Sicherheit

 

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben