Durch eine kritische Sicherheitslücke in Microsoft Word können Angreifer aus der Ferne beliebigen Code auf Deinem Rechner ausführen.
Eine Sicherheitslücke in Microsoft Word erlaubt es Angreifern, schadhaften Code auf Deinem System auszuführen, sobald Du ein speziell präpariertes RTF-Dokument öffnest. Nachdem ein Sicherheitsforscher kürzlich einen PoC veröffentlicht hat, ist die Gefahr, dass Hacker die Schwachstelle ausnutzen, umso größer.
RTF-Dokument lässt Angreifer bösartigen Code ausführen
Am Wochenende veröffentlichte der Sicherheitsforscher Joshua Drake einen Proof-of-Concept-Code (PoC) für die Ausnutzung einer kritischen Sicherheitslücke in Microsoft Word. Die mit einem Schweregrad von 9,8/10 bewertete Schwachstelle CVE-2023-21716 ermöglicht Angreifern eine Remotecodeausführung (RCE) auf den Systemen ihrer Opfer.
Wie BleepingComputer berichtet, hatte Drake die Sicherheitslücke in der zu MS Word gehörenden „wwlib.dll“ bereits im vergangenen Jahr entdeckt und an Microsoft gemeldet. Alles, was Cyberkriminelle für einen erfolgreichen Angriff benötigen, ist ein speziell für diesen Zweck präpariertes RTF-Dokument.
Sobald ein Opfer die Datei öffnet, lässt sich bösartiger Code mit den Rechten des angemeldeten Benutzers ausführen. Der Redmonder Softwarekonzern warnt sogar davor, dass bereits das Laden des Dokumentes im Vorschaufenster ausreicht, um einem Angreifer den Zutritt zu gewähren.
Schwachstelle im Heap-Speicher erlaubt RCE in Microsoft Word
Auslöser des Problems sei demnach eine Heap-Corruption-Schwachstelle. Durch den Einsatz einer Schriftartentabelle mit einer übermäßig großen Anzahl von Schriftarten komme es folglich zu einem Fehler im Heap-Speicher. Diesen könne ein Angreifer anschließend für die Ausführung von beliebigem Code ausnutzen.
Während schon der zuvor an Microsoft übermittelte PoC zur Ausnutzung der Word-Sicherheitslücke lediglich wenige Codezeilen umfasste, gelang es Joshua Drake, den Code noch weiter zu kürzen. Letztendlich konnte er ihn sogar in nur einem einzelnen Tweet veröffentlichen.
Von der Schwachstelle betroffen sind Microsoft zufolge verschiedene gängige Word-Versionen von Office 2013, 2016, 2019 und 2021.
Microsoft hält Ausnutzung der Sicherheitslücke in Word für “weniger wahrscheinlich”
Eine Ausnutzung der Schwachstelle in freier Wildbahn sei bisher nicht bekannt und laut Microsoft ohnehin “weniger wahrscheinlich”. Ob der Konzern damit recht behält, wird sich angesichts der geringen Komplexität des Angriffs erst noch zeigen müssen.
Schließlich brauchen Kriminelle nichts weiter zu tun, als eine modifizierte RTF-Datei im Rahmen einer Phishing-Kampagne per E-Mail oder Social Media an möglichst viele Menschen zu verteilen. Und obwohl Microsoft im letzten Monat bereits ein Patch bereitgestellt hat, ist die Gefahr damit nicht vollends gebannt.
Denn für Hacker ist es oftmals weniger aufwendig, einen bestehenden PoC zu modifizieren, als von Grund auf eigenen Schadcode zu entwickeln. Und nach der nun erfolgten Veröffentlichung wird so manch ein Angreifer versuchen, den Patch von Microsoft auszuhebeln, um die Sicherheitslücke in MS Word durch einen Exploit auszunutzen.
Zwar bietet der Softwaregigant zusätzlich noch ein paar Workarounds an, um sich vor potenziellen Angriffen zu schützen. Da diese jedoch einen Eingriff in die Windows-Registry erfordern, dürften wohl die wenigsten Anwender davon tatsächlich Gebrauch machen.