13.04.2017 | Bochum, Autor: Ralf Benzmüller

Microsoft schließt Zero-Day-Lücke in Office

Das April-Update lohnt sich besonders. Es schließt 21 Sicherheitslücken in 13 Komponenten

Die aktuellen Patches von Microsoft schließen u.a. eine Lücke in Office, die bereits aktiv von Banking-Trojanern der Famile Dridex ausgenutzt wird. Das Update bietet den besten Schutz.

Seit einer Woche häufen sich Berichte darüber, dass eine Sicherheitslücke in Office aktiv von Schadprogrammen ausgenutzt wird. Eine RTF-Datei infiziert den Rechner, sobald sie mit Word regulär geöffnet wird. Millionen von E-Mails mit schädlichen Anhängen sollen in Spam-Kampagnen über das Necurs-Botnet versendet worden sein. Ein erfolgreicher Angriff installiert einen Banking-Trojaner der Dridex-Familie. Soweit die Schilderungen in der Presse und in Foren.

Schwache Signale

Unsere Telemetrie zeigt ein anderes Bild. Gegenüber den letzten Wochen ist aktuell im deutschsprachigen Raum kein Anstieg im Bereich der Aktivitäten von Exploits und Banking-Trojanern zu verzeichnen. Entweder arbeiten die Spamfilter so zuverlässig, dass von der ganzen Kampagne nichts auf den Rechnern ankommt. Oder momentan sind die Aktivitäten der Spammer auf andere geografische Regionen begrenzt.

Gegenmaßnahmen

Das muss aber nicht so bleiben. Man kann sich auf den Virenschutz verlassen. Seine dynamischen Schutzkomponenten wie Behavior Blocker und Exploit Protection würden diesen Angriff abwehren. Man kann Word auch so einstellen, dass es Dokumente zunächst in der "Geschützten Ansicht" öffnet, denn der Angriff funktioniert nur im Modus "Bearbeiten". Als Nutzer hat man demnach einige Möglichkeiten den Angriff zu verhindern. Aber besser ist natürlich, wenn man es gar nicht erst so weit kommen lässt.

Updaten!

Das aktuelle Microsoft-Update schließt diese kritische Sicherheitslücke in Windows. Und noch viele weitere u.a. in den Browsern Internet Explorer und Edge und in Office. Die diese Lücke bereits aktiv von Malware ausgenutzt wird - wenn auch offenbar nicht im deutschsprachigen Raum - sollte man schneller sein als die Cyber-Kriminellen.


ID

Kurze Beschreibung

Bewertung

Betroffene Software

MS16-037 

Kumulatives Sicherheitsupdate für Internet Explorer (3148531)
Ausführung von Code mit den Rechten des aktuellen Nutzers

Kritisch 
Remotecodeausführung

Microsoft Windows, 
Internet Explorer

MS16-038

Kumulatives Sicherheitsupdate für Microsoft Edge (3148532) 
Ausführung von Code mit den Rechten des aktuellen Nutzers

Kritisch 
Remotecodeausführung

Microsoft Windows, 
Microsoft Edge

MS16-039

Sicherheitsupdate für Microsoft-Grafikkomponente (3148522) 
Ausführung von Code, beim Öffnen eines speziell gestalteten Dokuments, beim Besuch der Webseite die OpenType-Schriftartdateien enthält
Kritisch 
Remotecodeausführung

Microsoft Windows, Microsoft .NET Framework,
Microsoft Office, Skype for Business,
Microsoft Lync.

MS16-040

Sicherheitsupdate für Microsoft XML Core Services (3148541) 
Ausführung von Code beim Klick auf einen präparierten Link z.B. in E-Mails oder auf Webseiten.

Kritisch 
Remotecodeausführung

Microsoft Windows

MS16-041

Sicherheitsupdate für .NET Framework (3148789) 
Ausführung von Code, wenn ein Angreifer auf ein lokales System zugreift und eine schädliche Anwendung ausführt.

Hoch 
Remotecodeausführung

Microsoft Windows, 
Microsoft .NET Framework

MS16-042

Sicherheitsupdate für Microsoft Office (3148775) 
Ausführung von Code beim Öffnen einer Office-Datei mit den Rechten des aktuellen Nutzers

Kritisch 
Remotecodeausführung

Microsoft Office, 
Microsoft Office-Dienste und Web Apps

MS16-044

Sicherheitsupdate für Windows OLE (3146706) 
Ausführung von Code, wenn Benutzereingaben in Windows OLE nicht überprüft werden. Zum Ausnutzen muss eine präparierte Datei geöffnet werden

Hoch 
Remotecodeausführung

Microsoft Windows

MS16-045

Sicherheitsupdate für Windows Hyper-V (3143118) 
Wenn auf einem Gastsystem eine präparierte Datei ausgeführt wird, kann es zur Ausführung von Code auf dem Host kommen. Nutzer, die die Hyper-V-Rolle nicht aktiviert haben, sind nicht betroffen.

Hoch 
Remotecodeausführung

Microsoft Windows

MS16-046

Sicherheitsupdate für sekundären Anmeldedienst (3148538)
Ausführung von beliebigem Code als Administrator
Hoch 
Erhöhung von Berechtigungen

Microsoft Windows

MS16-047

Sicherheitsupdate für SAM- und LSAD-Remoteprotokolle (3148527)
Erhöhte Berechtigungen erlangen, wenn ein Angreifer einen Man-in-the-Middle-Angriff ausführt. Ein Angreifer könnte dann eine Herabstufung der Authentifizierungsebene der SAM- und LSAD-Kanäle erzwingen und die Identität des authentifizierten Benutzers annehmen.

Hoch 
Erhöhung von Berechtigungen

Microsoft Windows

MS16-048

Sicherheitsupdate für CSRSS (3148528)
Umgehung von Sicherheitsfunktionen, wenn sich ein Angreifer bei einem Zielsystem anmeldet und eine speziell gestaltete Anwendung ausführt.

Hoch 
Umgehung von Sicherheitsfunktionen

Microsoft Windows

MS16-049

Sicherheitsupdate für HTTP.sys (3148795)
 
Denial-of-Service-Angriff, wenn ein speziell gestaltetes HTTP-Paket an ein Zielsystem gesendet wird.

Hoch 
DoS (Denial of Service)

Microsoft Windows

MS16-050

Sicherheitsupdate für Adobe Flash Player (3154132) 
Sichert gegen Angriffe bei der Installation von Adobe Flash Player

Kritisch 
Remotecodeausführung

Microsoft Windows, 
Adobe Flash Player

Share this article

G DATA | Trust in German Sicherheit