Microsoft warnt vor Zero-Day-Sicherheitsanfälligkeit in Office, die zu Datenlecks führen kann

Microsoft hat eine schwerwiegende Zero-Day-Sicherheitsanfälligkeit offengelegt, die mehrere Office- und 365-Enterprise-Produkte betrifft, für die ein Patch noch in Entwicklung ist.

Die Sicherheitsanfälligkeit mit der Kennung CVE-2024-38200 wird durch eine Informationsoffenlegungsanfälligkeit verursacht, die von Hackern leicht ausgenutzt werden kann, um private und geschützte Daten von Einzelpersonen oder Organisationen zu stehlen, einschließlich Systemstatus- und Umgebungs- oder Konfigurationsdaten, Netzwerkstatus- und Konfigurationsdaten oder Verbindungsmetadaten.

Die Zero-Day-Sicherheitsanfälligkeit (CVE-2024-38200) betrifft die folgenden Produkte:

• Microsoft Office 2016 (32-Bit & 64-Bit)

• Microsoft Office 2019 (32-Bit & 64-Bit)

• Microsoft Office LTSC 2021 (32-Bit & 64-Bit)

• Microsoft 365 Apps für Unternehmen (32-Bit & 64-Bit)

Laut Microsofts Einschätzung zur Ausnutzbarkeit ist die Wahrscheinlichkeit, CVE-2024-38200 auszunutzen, „weniger wahrscheinlich“, aber MITRE hat angedeutet, dass die Chancen für die Ausnutzung dieser Art von Schwäche hoch sind.

„In einem webbasierten Angriffszenario könnte ein Angreifer eine Website hosten (oder eine kompromittierte Website nutzen, die benutzergenerierte Inhalte akzeptiert oder hostet), die eine speziell gestaltete Datei enthält, die darauf ausgelegt ist, die Sicherheitsanfälligkeit auszunutzen“, erklärt Microsofts Beratung.

„Ein Angreifer hätte jedoch keine Möglichkeit, den Benutzer zu zwingen, die Website zu besuchen. Stattdessen müsste ein Angreifer den Benutzer überzeugen, auf einen Link zu klicken, typischerweise durch einen Anreiz in einer E-Mail oder einer Instant-Messaging-Nachricht, und dann den Benutzer überzeugen, die speziell gestaltete Datei zu öffnen.“

Derzeit entwickelt Microsoft Sicherheitsupdates, um diese Zero-Day-Sicherheitsanfälligkeit zu beheben, hat jedoch noch kein Veröffentlichungsdatum bekannt gegeben.

Microsoft hat die Entdeckung von CVE-2024-38200 Jim Rush, einem Sicherheitsberater bei PrivSec Consulting, und Metin Yunus Kandemir, einem Mitglied des Synack Red Teams, zugeschrieben.

Weitere Informationen zu dieser Sicherheitsanfälligkeit wird Rush in seinem bevorstehenden Defcon-Vortrag mit dem Titel „NTLM – Die letzte Fahrt“ bereitstellen, sagte Peter Jakowetz, Geschäftsführer bei PrivSec, gegenüber BleepingComputer.

„Es wird einen tiefen Einblick in mehrere neue Fehler geben, die wir Microsoft offengelegt haben (einschließlich des Umgehens eines Fixes für eine bestehende CVE), einige interessante und nützliche Techniken, die Techniken aus mehreren Fehlerklassen kombinieren, was zu unerwarteten Entdeckungen und einigen absolut fehlerhaften Bugs führt. Wir werden auch einige Standardeinstellungen aufdecken, die in sinnvollen Bibliotheken oder Anwendungen einfach nicht existieren sollten, sowie einige eklatante Lücken in einigen der Microsoft NTLM-bezogenen Sicherheitskontrollen“, erklärt Rush.

Zusätzlich arbeitet Microsoft auch daran, Zero-Day-Schwächen zu beheben, die dazu führen könnten, dass vollständig aktualisierte Software auf eine ältere Version mit bekannten, ausnutzbaren Sicherheitsanfälligkeiten zurückgesetzt wird.

Anfang dieser Woche gab das Unternehmen auch bekannt, dass es an der Behebung eines Windows Smart App Control, SmartScreen-Umgehungsproblems arbeitet, das seit 2018 in der Wildnis ausgenutzt wird.