Offene Sicherheitslücke: Hacker übernehmen Windows-Systeme per Office-Dokument

Microsoft hat gestern auf eine bisher ungepatchte Sicherheitslücke in mehreren Windows- und Office-Produkten aufmerksam gemacht, die Angreifer derzeit aktiv ausnutzen, um aus der Ferne böswilligen Code auf Zielsystemen auszuführen. Die Komplexität eines Angriffs sei zwar hoch, dafür ist laut einem Bericht von Bleeping Computer aber nur eine sehr geringfügige Nutzerinteraktion erforderlich.

Damit Hacker über die als CVE-2023-36884 getrackte Schwachstelle Zugriff auf das Windows-System einer Zielperson erhalten, müssen sie Letztere lediglich dazu animieren, ein speziell präpariertes Office-Dokument zu öffnen. Anschließend können Angreifer beispielsweise sensible Daten abgreifen, Schutzfunktionen des Zielsystems deaktivieren oder Besitzer aus ihrem eigenen Benutzerkonto aussperren.

Einen Patch gibt es noch nicht

Microsoft weist darauf hin, dass das Unternehmen die Sicherheitslücke entweder im Rahmen seines monatlichen Veröffentlichungsprozesses oder, "je nach Kundenbedarf", durch ein gesondertes Sicherheitsupdate schließen wird. Bis dahin verweist der Konzern auf einen Workaround, den Benutzer in eigenem Ermessen umsetzen können. Wer den Defender for Office im Einsatz hat und eine Regel aktiviert, die Office-Anwendungen die Erstellung von Kind-Prozessen untersagt, sei ohnehin vor Angriffen auf CVE-2023-36884 geschützt.

Allen anderen Nutzern empfiehlt Microsoft, die Anwendungsnamen Excel.exe, Grafik.exe, MSAccess.exe, MSPub.exe, PowerPoint.exe, Visio.exe, WinProj.exe, WinWord.exe und Wordpad.exe vorübergehend zum Registrierungsschlüssel "Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" als REG_DWORD mit dem Wert 1 hinzuzufügen.

Angriffe auf Teilnehmer des Nato-Gipfels bekannt

Wie Microsoft in einem separaten Blogbeitrag erklärt, nutzen Angreifer die Schwachstelle bereits aktiv aus, um Teilnehmer des Nato-Gipfels in Litauen anzugreifen. Durch gefälschte Dokumente, die vorgeblich von der ukrainischen Weltkongressorganisation stammen, versuchen die Hacker demnach unter anderem eine Backdoor zu verbreiten.

Ursprung dieser Angriffe soll eine in Russland ansässige Hackergruppe sein, die unter den Namen Romcom, Storm-0978 oder DEV-0978 bekannt ist und der auch die Entwicklung der ebenfalls als Romcom bezeichneten Backdoor zugeschrieben wird. Die Angreifer konzentrierten sich bisher vornehmlich auf den Diebstahl von Anmeldedaten und sollen darüber hinaus auch mit geheimdienstlichen Operationen in Verbindung stehen.