Microsoft Security Bulletin MS14-023 – Wichtig
Sicherheitsrisiken in Microsoft Office können Remotecodeausführung ermöglichen (2961037)
Veröffentlicht: 13. Mai 2014 | Aktualisiert: 13. Mai 2014
Version: 1.1
Allgemeine Informationen
Kurzfassung
Dieses Sicherheitsupdate behebt zwei privat gemeldete Sicherheitsrisiken in Microsoft Office. Die schwerwiegendste Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine Office-Datei öffnet, die sich im selben Netzwerkverzeichnis wie eine speziell gestaltete Bibliotheksdatei befindet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann dieselben Benutzerrechte wie der aktuelle Benutzer erhalten. Kunden, deren Konten für weniger Benutzerrechte auf dem System konfiguriert sind, sind möglicherweise weniger betroffen als Kunden, die mit administratorrechtlichen Benutzerrechten arbeiten.
Dieses Sicherheitsupdate wird für unterstützte Editionen von Microsoft Office 2007, Microsoft Office 2010 und Microsoft Office 2013 als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene und nicht betroffene Software .
Das Sicherheitsupdate behebt die Sicherheitsrisiken, indem es sicherstellt, dass die Chinesische Grammatikprüfung in Microsoft Office Dateipfade ordnungsgemäß überprüft, bevor externe Bibliotheken geladen werden, und indem sichergestellt wird, dass die Microsoft Office-Software speziell gestaltete Antworten von Websites ordnungsgemäß verarbeitet. Weitere Informationen zu den Sicherheitsanfälligkeiten finden Sie im Unterabschnitt Häufig gestellte Fragen (FAQ) für den spezifischen Sicherheitsrisikoeintrag weiter unten in diesem Bulletin.
Empfehlung. Kunden können automatische Updates konfigurieren, um online nach Updates von Microsoft Update zu suchen, indem sie den Microsoft Update-Dienst verwenden. Kunden, die automatische Updates aktiviert und konfiguriert haben, um online nach Updates von Microsoft Update zu suchen, müssen in der Regel keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Kunden, die die automatische Aktualisierung nicht aktiviert haben, müssen nach Updates von Microsoft Update suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei automatischen Updates finden Sie im Microsoft Knowledge Base-Artikel 294871.
Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die dieses Sicherheitsupdate manuell installieren möchten, empfiehlt Microsoft, dass Kunden das Update so früh wie möglich mithilfe der Updateverwaltungssoftware oder mithilfe des Microsoft Update-Diensts auf Updates anwenden.
Weitere Informationen finden Sie im Abschnitt Erkennungs- und Bereitstellungstools und Anleitungen weiter unten in diesem Bulletin.
Knowledge Base-Artikel
- Knowledge Base-Artikel: 2961037
- Dateiinformation: Ja
- SHA1/SHA2-Hashes: Ja
- Bekannte Probleme: Ja
Betroffene und nicht betroffene Software
Die folgende Software wurde getestet, um festzustellen, welche Versionen oder Editionen betroffen sind. Andere Versionen oder Editionen haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder Edition finden Sie unter Microsoft-Support Lifecycle.
Betroffene Software
| Software | Komponente | Maximale Sicherheitsbeeinträchtigung | Bewertung des Aggregierten Schweregrads | Updates ersetzt |
|---|---|---|---|---|
| Microsoft Office 2007 | ||||
| Microsoft Office 2007 Service Pack 3 (Korrekturhilfen) (2767772) | Chinesisch (vereinfacht) Grammatikprüfung | Codeausführung von Remotestandorten | Wichtig | Keine |
| Microsoft Office 2010 | ||||
| Microsoft Office 2010 Service Pack 1 (32-Bit-Editionen) (Korrekturhilfen) (2878284) | Chinesisch (vereinfacht) Grammatikprüfung | Codeausführung von Remotestandorten | Wichtig | 2760781 in MS13-091 |
| Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) (Korrekturhilfen) (2878284) | Chinesisch (vereinfacht) Grammatikprüfung | Codeausführung von Remotestandorten | Wichtig | 2760781 in MS13-091 |
| Microsoft Office 2010 Service Pack 1 (64-Bit-Editionen) (Korrekturhilfen) (2878284) | Chinesisch (vereinfacht) Grammatikprüfung | Codeausführung von Remotestandorten | Wichtig | 2760781 in MS13-091 |
| Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) (Korrekturhilfen) (2878284) | Chinesisch (vereinfacht) Grammatikprüfung | Codeausführung von Remotestandorten | Wichtig | 2760781 in MS13-091 |
| Microsoft Office 2013 und Microsoft Office 2013 RT | ||||
| Microsoft Office 2013 (32-Bit-Editionen) (Korrekturhilfen) (2880463) | Nicht verfügbar | Codeausführung von Remotestandorten | Wichtig | Keine |
| Microsoft Office 2013 Service Pack 1 (32-Bit-Editionen) (Korrekturhilfen) (2880463) | Nicht verfügbar | Codeausführung von Remotestandorten | Wichtig | Keine |
| Microsoft Office 2013 (32-Bit-Editionen) (mso) (2878316) | Nicht verfügbar | Veröffentlichung von Informationen | Wichtig | 2850064 in MS13-104 |
| Microsoft Office 2013 Service Pack 1 (32-Bit-Editionen) (mso) (2878316) | Nicht verfügbar | Veröffentlichung von Informationen | Wichtig | Keine |
| Microsoft Office 2013 (64-Bit-Editionen) (Korrekturhilfen) (2880463) | Nicht verfügbar | Codeausführung von Remotestandorten | Wichtig | Keine |
| Microsoft Office 2013 Service Pack 1 (64-Bit-Editionen) (Korrekturhilfen) (2880463) | Nicht verfügbar | Codeausführung von Remotestandorten | Wichtig | Keine |
| Microsoft Office 2013 (64-Bit-Editionen) (mso) (2878316) | Nicht verfügbar | Veröffentlichung von Informationen | Wichtig | 2850064 in MS13-104 |
| Microsoft Office 2013 Service Pack 1 (64-Bit-Editionen) (mso) (2878316) | Nicht verfügbar | Veröffentlichung von Informationen | Wichtig | Keine |
| Microsoft Office 2013 RT (Korrekturhilfen)[1](2880463) | Nicht verfügbar | Codeausführung von Remotestandorten | Wichtig | Keine |
| Microsoft Office 2013 RT Service Pack 1 (Korrekturhilfen)[1](2880463) | Nicht verfügbar | Codeausführung von Remotestandorten | Wichtig | Keine |
| Microsoft Office 2013 RT (mso)[1](2878316) | Nicht verfügbar | Codeausführung von Remotestandorten | Wichtig | 2850064 in MS13-104 |
| Microsoft Office 2013 RT Service Pack 1 (mso)[1](2878316) | Nicht verfügbar | Codeausführung von Remotestandorten | Wichtig | Keine |
[1]Dieses Update ist über Windows Update verfügbar.
Nicht betroffene Software
| Office und andere Software |
|---|
| Microsoft Word Viewer |
| Microsoft Office Compatibility Pack Service Pack 3 |
| Microsoft Office für Mac 2011 |
Häufig gestellte Fragen zum Aktualisieren
Mir wird dieses Update für Software angeboten, die ich nicht auf meinem System installiert habe. Warum wird mir dieses Update angeboten?
Aufgrund des Wartungsmodells für Microsoft Office-Updates werden Ihnen möglicherweise Updates für Software angeboten, die Sie nicht auf Ihrem System installiert haben. Beispielsweise sind nur Systeme mit der Grammatikprüfung für Chinesisch (vereinfacht) anfällig für CVE-2014-1756. Möglicherweise wird Ihnen jedoch das Update der Korrekturhilfen für Ihre Version von Microsoft Office angeboten, auch wenn Sie nicht speziell über die Grammatikprüfung für Chinesisch (vereinfacht) verfügen.
Darüber hinaus wirkt sich CVE-2014-1808 auf eine freigegebene Komponente aus, die von Microsoft Office 2013-Software verwendet wird. Das MSO-Update kann Systemen angeboten werden, auf denen ein betroffenes Microsoft Office 2013-Produkt ausgeführt wird, das die freigegebene Komponente verwendet.
Weitere Informationen zu diesem Verhalten und empfohlenen Aktionen finden Sie im Microsoft Knowledge Base-Artikel 830335.
Ich verwende eine ältere Version der Software, die in diesem Sicherheitsbulletin beschrieben wird. Wie sollte ich vorgehen?
Die in diesem Bulletin aufgeführte betroffene Software wurde getestet, um festzustellen, welche Releases betroffen sind. Andere Releases haben ihren Supportlebenszyklus hinter sich. Weitere Informationen zum Produktlebenszyklus finden Sie auf der Microsoft-Support Lifecycle-Website.
Es sollte für Kunden mit älteren Versionen der Software prioritätshalber sein, zu unterstützten Releases zu migrieren, um eine potenzielle Gefährdung durch Sicherheitsrisiken zu verhindern. Informationen zum Ermitteln des Supportlebenszyklus für Ihr Softwarerelease finden Sie unter Auswählen eines Produkts für Lebenszyklusinformationen. Weitere Informationen zu Service Packs für diese Softwareversionen finden Sie unter Service Pack Lifecycle Support Policy.
Kunden, die benutzerdefinierten Support für ältere Software benötigen, müssen sich an ihren Microsoft-Kontomitarbeiter, ihren Technical Account Manager oder den entsprechenden Microsoft-Partnerbeauftragten wenden, um benutzerdefinierte Supportoptionen zu erhalten. Kunden ohne Einen Alliance-, Premier- oder autorisierten Vertrag können sich an ihr lokales Microsoft-Vertriebsbüro wenden. Kontaktinformationen finden Sie auf der Microsoft Worldwide Information-Website , wählen Sie das Land in der Liste Kontaktinformationen aus, und klicken Sie dann auf Gehe , um eine Liste der Telefonnummern anzuzeigen. Wenn Sie anrufen, bitten Sie, mit dem lokalen Premier Support-Vertriebsleiter zu sprechen. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Microsoft-Support Lifecycle-Richtlinie.
Schweregradbewertungen und Sicherheitsrisikobezeichner
Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit der Ausnutzung des Sicherheitsrisikos in Bezug auf den Schweregrad und die Sicherheitsauswirkungen innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex in der Zusammenfassung des Bulletins vom Mai. Weitere Informationen finden Sie unter Microsoft Exploitability Index.
| Bewertung des Schweregrads der Sicherheitsrisiken und maximale Auswirkungen auf die Sicherheit durch betroffene Software | |||
|---|---|---|---|
| Betroffene Software | Sicherheitsanfälligkeit bei der Grammatikprüfung in Microsoft Office Chinesisch – CVE-2014-1756 | Sicherheitsanfälligkeit bei der Tokenwiederverwendung – CVE-2014-1808 | Bewertung des Aggregierten Schweregrads |
| Microsoft Office 2007 | |||
| Microsoft Office 2007 Service Pack 3 (Korrekturhilfen) (nur chinesisch vereinfacht) | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig |
| Microsoft Office 2010 | |||
| Microsoft Office 2010 Service Pack 1 (32-Bit-Editionen) (Korrekturhilfen) (nur chinesisch vereinfacht) | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig |
| Microsoft Office 2010 Service Pack 2 (32-Bit-Editionen) (Korrekturhilfen) (nur chinesisch vereinfacht) | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig |
| Microsoft Office 2010 Service Pack 1 (64-Bit-Editionen) (Korrekturhilfen) (nur vereinfachtes Chinesisch) | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig |
| Microsoft Office 2010 Service Pack 2 (64-Bit-Editionen) (Korrekturhilfen) (nur chinesisch vereinfacht) | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig |
| Microsoft Office 2013 und Microsoft Office 2013 RT | |||
| Microsoft Office 2013 (32-Bit-Editionen) (Korrekturhilfen) | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig |
| Microsoft Office 2013 Service Pack 1 (32-Bit-Editionen) (Korrekturhilfen) | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig |
| Microsoft Office 2013 (32-Bit-Editionen) (mso) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft Office 2013 Service Pack 1 (32-Bit-Editionen) (mso) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft Office 2013 (64-Bit-Editionen) (Korrekturhilfen) | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig |
| Microsoft Office 2013 Service Pack 1 (64-Bit-Editionen) (Korrekturhilfen) | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig |
| Microsoft Office 2013 (64-Bit-Editionen) (mso) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft Office 2013 Service Pack 1 (64-Bit-Editionen) (mso) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft Office 2013 RT (Korrekturhilfen) | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig |
| Microsoft Office 2013 RT Service Pack 1 (Korrekturhilfen) | Wichtig Remotecodeausführung | Nicht verfügbar | Wichtig |
| Microsoft Office 2013 RT Service Pack 1 (mso) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Wichtig |
| Microsoft Office 2013 RT (mso) | Nicht verfügbar | Wichtig Offenlegung von Informationen | Wichtig |
Sicherheitsrisiko bei der Grammatikprüfung in Microsoft Office Chinesisch – CVE-2014-1756
Ein Sicherheitsrisiko bei der Remotecodeausführung liegt in der Art und Weise vor, wie die betroffene Microsoft Office-Software das Laden von Dateien der Dynamic Link Library (.dll) verarbeitet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die vollständige Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.
Informationen zum Anzeigen dieses Sicherheitsrisikos als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2014-1756.
Schadensbegrenzende Faktoren
Entschärfung bezieht sich auf eine Einstellung, eine allgemeine Konfiguration oder eine allgemeine bewährte Methode, die in einem Standardzustand vorhanden ist und den Schweregrad der Ausnutzung eines Sicherheitsrisikos verringern kann. Die folgenden Milderungsfaktoren können in Ihrer Situation hilfreich sein:
- Nur Systeme, auf denen die Grammatikprüfung für Chinesisch (vereinfacht) in Microsoft Office aktiviert ist, sind von der Sicherheitsanfälligkeit betroffen.
- Damit ein Angriff in einem Netzwerkangriffsszenario erfolgreich ist, muss ein Benutzer einen nicht vertrauenswürdigen Remotedateisystemspeicherort oder eine WebDAV-Freigabe besuchen und eine Office-bezogene Datei (z. B. eine .docx-Datei) öffnen. Das Dateifreigabeprotokoll Server Message Block (SMB) ist in der Umkreisfirewall häufig deaktiviert. Dies schränkt die potenziellen Angriffsvektoren für diese Sicherheitsanfälligkeit ein.
- Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten. Kunden, deren Konten so konfiguriert sind, dass sie über weniger Benutzerrechte auf dem System verfügen, sind möglicherweise weniger betroffen als Benutzer mit Administratorrechten.
Problemumgehungen
Problemumgehung bezieht sich auf eine Einstellung oder Konfigurationsänderung, die die zugrunde liegende Sicherheitsanfälligkeit nicht korrigiert, aber dazu beitragen würde, bekannte Angriffsvektoren zu blockieren, bevor Sie das Update anwenden. Microsoft hat die folgenden Problemumgehungen getestet und gibt in der Diskussion an, ob eine Problemumgehung die Funktionalität reduziert:
Deaktivieren des Ladens von Bibliotheken aus WebDAV und Remotenetzwerkfreigaben
Hinweis Informationen zum Bereitstellen eines Problemumgehungstools, mit dem Kunden das Laden von Bibliotheken aus Remotenetzwerken oder WebDAV-Freigaben deaktivieren können, finden Sie im Microsoft Knowledge Base-Artikel 2264107 . Dieses Tool kann so konfiguriert werden, dass unsicheres Laden pro Anwendung oder auf globaler Systembasis nicht zugelassen wird.
Kunden, die von ihrem Anbieter darüber informiert werden, dass eine Anwendung anfällig ist, können dieses Tool verwenden, um sich vor Versuchen zu schützen, dieses Problem auszunutzen.
Hinweis Informationen zum Bereitstellen des Registrierungsschlüssels zum Blockieren des Ladens von Bibliotheken für SMB- und WebDAV-Freigaben finden Sie im Microsoft Knowledge Base-Artikel 2264107. Beachten Sie, dass Sie für diese Lösung zum Beheben von It-Lösungen zuerst das Problemumgehungstool installieren müssen, das auch im Microsoft Knowledge Base-Artikel 2264107 beschrieben wird. Diese Fix it-Lösung stellt nur den Registrierungsschlüssel bereit und erfordert das Tool zur Problemumgehung, um effektiv zu sein. Es wird empfohlen, dass Administratoren den KB-Artikel genau lesen, bevor sie diese Fix it-Lösung bereitstellen.
Deaktivieren des WebClient-Diensts
Das Deaktivieren des WebClient-Diensts schützt betroffene Systeme vor Versuchen, diese Sicherheitsanfälligkeit auszunutzen, indem der wahrscheinlichste Remoteangriffsvektor über den WebDAV-Clientdienst (Web Distributed Authoring and Versioning) blockiert wird. Nach dem Anwenden dieser Problemumgehung ist es weiterhin möglich, dass Remoteangreifer, die diese Sicherheitsanfälligkeit erfolgreich ausnutzen, dazu führen, dass das System Programme auf dem Computer des Zielbenutzers oder im LAN (Local Area Network) ausführen, aber Benutzer werden zur Bestätigung aufgefordert, bevor sie beliebige Programme aus dem Internet öffnen.
Führen Sie die folgenden Schritte aus, um den WebClient-Dienst zu deaktivieren:
- Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Services.msc ein, und klicken Sie dann auf OK.
- Klicken Sie mit der rechten Maustaste auf den WebClient-Dienst , und wählen Sie Eigenschaften aus.
- Ändern Sie den Starttyp in Deaktiviert. Wenn der Dienst ausgeführt wird, klicken Sie auf Beenden.
- Klicken Sie auf OK , und beenden Sie die Verwaltungsanwendung.
Auswirkungen der Problemumgehung. Wenn der WebClient-Dienst deaktiviert ist, werden Web Distributed Authoring and Versioning-Anforderungen (WebDAV) nicht übertragen. Darüber hinaus werden alle Dienste, die explizit vom Webclientdienst abhängen, nicht gestartet, und eine Fehlermeldung wird im Systemprotokoll protokolliert. Auf WebDAV-Freigaben kann beispielsweise nicht vom Clientcomputer aus zugegriffen werden.
Rückgängigmachen der Problemumgehung
Führen Sie die folgenden Schritte aus, um den WebClient-Dienst erneut zu aktivieren:
- Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Services.msc ein, und klicken Sie dann auf OK.
- Klicken Sie mit der rechten Maustaste auf den WebClient-Dienst , und wählen Sie Eigenschaften aus.
- Ändern Sie den Starttyp in Automatisch. Wenn der Dienst nicht ausgeführt wird, klicken Sie auf Start.
- Klicken Sie auf OK , und beenden Sie die Verwaltungsanwendung.
Blockieren der TCP-Ports 139 und 445 an der Firewall
Diese Ports werden verwendet, um eine Verbindung mit der betroffenen Komponente zu initiieren. Das Blockieren der TCP-Ports 139 und 445 an der Firewall trägt dazu bei, Systeme, die sich hinter dieser Firewall befinden, vor Versuchen zu schützen, diese Sicherheitsanfälligkeit auszunutzen. Microsoft empfiehlt, alle unerwünschten eingehenden Kommunikationen aus dem Internet zu blockieren, um Angriffe zu verhindern, die möglicherweise andere Ports verwenden. Weitere Informationen zu Ports finden Sie im TechNet-Artikel TCP- und UDP-Portzuweisungen.
Auswirkungen der Problemumgehung. Mehrere Windows-Dienste verwenden die betroffenen Ports. Das Blockieren der Konnektivität mit den Ports kann dazu führen, dass verschiedene Anwendungen oder Dienste nicht funktionieren. Einige der Anwendungen oder Dienste, die betroffen sein könnten, sind unten aufgeführt:
- Anwendungen, die SMB (CIFS) verwenden
- Anwendungen, die Mailslots oder Named Pipes (RPC über SMB) verwenden
- Server (Datei- und Druckfreigabe)
- Gruppenrichtlinie
- Netzwerkanmeldung
- Verteiltes Dateisystem (Distributed File System, DFS)
- Terminalserverlizenzierung
- Druckspooler
- Computerbrowser
- RPC-Locator
- Faxdienst
- Indexdienst
- Leistungsprotokolle und -warnungen
- Systems Management Server
- Lizenzprotokollierungsdienst
Rückgängigmachen der Problemumgehung Heben Sie die Blockierung der TCP-Ports 139 und 445 an der Firewall auf. Weitere Informationen zu Ports finden Sie unter TCP- und UDP-Portzuweisungen.
Häufig gestellte Fragen
Was ist der Umfang der Sicherheitslücke?
Dies ist ein Sicherheitsrisiko bei der Remotecodeausführung im Kontext des aktuellen Benutzers.
Was verursacht das Sicherheitsrisiko?
Die Sicherheitsanfälligkeit wird verursacht, wenn die Grammatikprüfungsfunktion für Chinesisch (vereinfacht) in Microsoft Office den Pfad zum Laden externer Bibliotheken nicht ordnungsgemäß überprüft.
Was ist die Grammatik-/Stilprüfungsfunktion in Microsoft Office?
Das Feature Grammatik-/Stilprüfung ist Teil der Dokumentprüfungstools, die in Microsoft Office Language Pack Korrekturhilfen aktiviert sind. Microsoft Office Language Pack Korrekturhilfen sind für bestimmte Sprachen oder als vollständiger Satz als Office Multi-Language Pack verfügbar. Weitere Informationen finden Sie unter Was ist in Office Language Pack Proofing Tools enthalten.
Diese Sicherheitsanfälligkeit betrifft nur Systeme, auf denen das Chinesische (vereinfacht) Language Pack Proofing Tool installiert ist.
Was kann ein Angreifer mit der Sicherheitsanfälligkeit tun?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des aktuellen Benutzers ausführen. Wenn der aktuelle Benutzer mit Administratorrechten angemeldet ist, kann ein Angreifer die vollständige Kontrolle über das betroffene System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen. Für Benutzer, deren Konten mit weniger Benutzerrechten im System konfiguriert sind, sind die Auswirkungen normalerweise geringer als für Benutzer, die mit Administratorrechten arbeiten.
Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
Ein Angreifer könnte einen Benutzer dazu verreden, eine Office-bezogene Datei (z. B. eine .docx-Datei) zu öffnen, die sich im selben Netzwerkverzeichnis wie eine speziell gestaltete .dll-Datei (Dynamic Link Library) befindet. Beim Öffnen der Office-bezogenen Datei könnte die Chinesische Grammatikprüfung in Microsoft Office versuchen, die .dll Datei zu laden und den darin enthaltenen Code auszuführen.
In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine Office-bezogene Dateianlage (z. B. eine .docx-Datei) an einen Benutzer sendet und den Benutzer dazu verredet, die Anlage in einem Verzeichnis zu platzieren, das eine speziell gestaltete .dll Datei enthält, und die legitime Datei zu öffnen. Beim Öffnen der Office-bezogenen Datei könnte die Chinesische Grammatikprüfung in Microsoft Office versuchen, die .dll Datei zu laden und den darin enthaltenen Code auszuführen.
In einem Netzwerkangriffsszenario kann ein Angreifer eine Office-bezogene Datei (z. B. eine .docx-Datei) und eine speziell gestaltete .dll-Datei in einer Netzwerkfreigabe, einem UNC- oder WebDAV-Speicherort platzieren und den Benutzer dann dazu verreden, die Office-bezogene Datei zu öffnen.
Welche Systeme sind in erster Linie durch die Sicherheitslücke gefährdet?
Systeme, auf denen betroffene Microsoft Office-Software verwendet wird, einschließlich Arbeitsstationen und Terminalservern, sind in erster Linie gefährdet. Server könnten einem größeren Risiko ausgesetzt sein, wenn Administratoren benutzern erlauben, sich bei Servern anzumelden und Programme auszuführen. Bewährte Methoden raten jedoch dringend davon ab, dies zuzulassen.
Was bewirkt das Update?
Dieses Update behebt das Sicherheitsrisiko, indem sichergestellt wird, dass die Chinesische (vereinfachte) Grammatikprüfung in Microsoft Office Dateipfade vor dem Laden externer Bibliotheken ordnungsgemäß überprüft.
Steht dieses Sicherheitsrisiko im Zusammenhang mit der Microsoft-Sicherheitsempfehlung 2269637?
Ja, diese Sicherheitsanfälligkeit bezieht sich auf die Klasse von Sicherheitsrisiken, die in der Microsoft-Sicherheitsempfehlung 2269637 beschrieben wird, die sich darauf auswirkt, wie Anwendungen externe Bibliotheken laden. Dieses Sicherheitsupdate behebt einen bestimmten instance dieser Art von Sicherheitsrisiko.
Wurde dieses Sicherheitsrisiko bei der Ausgabe dieses Security Bulletins öffentlich bekannt gegeben?
Nein. Microsoft hat informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten.
Hat Microsoft bei der Ausgabe dieses Security Bulletins Berichte erhalten, dass diese Sicherheitsanfälligkeit ausgenutzt wurde?
Nein. Microsoft hatte keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich veröffentlicht wurde.
Sicherheitsanfälligkeit in der Tokenwiederverwendung – CVE-2014-1808
Ein Sicherheitsrisiko bei der Offenlegung von Informationen liegt vor, wenn die betroffene Microsoft Office-Software beim Versuch, eine auf der schädlichen Website gehostete Office-Datei zu öffnen, eine speziell gestaltete Antwort nicht ordnungsgemäß verarbeitet. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann Zugriffstoken ermitteln, die zur Authentifizierung des aktuellen Benutzers bei einem zielgezielten Microsoft-Onlinedienst verwendet werden.
Informationen zum Anzeigen dieses Sicherheitsrisikos als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2014-1808.
Schadensbegrenzende Faktoren
Entschärfung bezieht sich auf eine Einstellung, eine allgemeine Konfiguration oder eine allgemeine bewährte Methode, die in einem Standardzustand vorhanden ist und den Schweregrad der Ausnutzung eines Sicherheitsrisikos verringern kann. Die folgenden Milderungsfaktoren können in Ihrer Situation hilfreich sein:
- Die Sicherheitsanfälligkeit kann nicht automatisch per E-Mail ausgenutzt werden. Damit ein Angriff erfolgreich ist, muss ein Benutzer eine Anlage öffnen, die in einer E-Mail-Nachricht gesendet wird, oder auf einen Link klicken, der in einer E-Mail-Nachricht enthalten ist.
- In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten, die verwendet wird, um diese Sicherheitsanfälligkeit auszunutzen. Darüber hinaus können kompromittierte Websites und Websites, die von Benutzern bereitgestellte Inhalte oder Werbung akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen könnten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer dazu zu zwingen, von Angreifern kontrollierte Inhalte anzuzeigen. Stattdessen müsste ein Angreifer benutzer dazu bringen, Maßnahmen zu ergreifen, indem er sie in der Regel dazu bringt, auf einen Link in einer E-Mail- oder Instant Messenger-Nachricht zu klicken, die Benutzer zur Website des Angreifers führt.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Häufig gestellte Fragen
Was ist der Umfang der Sicherheitslücke?
Dies ist ein Sicherheitsrisiko bei der Offenlegung von Informationen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann bestimmte Zugriffstoken ermitteln, die zur Authentifizierung des aktuellen Benutzers in einem bestimmten Microsoft-Onlinedienst verwendet werden.
Was verursacht das Sicherheitsrisiko?
Die Sicherheitsanfälligkeit wird verursacht, wenn die betroffene Microsoft Office-Software beim Versuch, eine auf einer schädlichen Website gehostete Office-Datei zu öffnen, speziell gestaltete Antworten falsch verarbeitet.
Was ist ein Zugriffstoken?
Ein Zugriffstoken ist ein Objekt, das den Sicherheitskontext eines Prozesses oder Threads beschreibt. Die Informationen in einem Token umfassen die Identität und die Berechtigungen des Benutzerkontos, das dem Prozess oder Thread zugeordnet ist. Wenn sich ein Benutzer anmeldet, überprüft das System das Kennwort des Benutzers, indem es mit informationen vergleicht, die in einer Sicherheitsdatenbank gespeichert sind. Wenn das Kennwort authentifiziert ist, erzeugt das System ein Zugriffstoken.
Was kann ein Angreifer mit der Sicherheitsanfälligkeit tun?
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann bestimmte Zugriffstoken ermitteln, die zur Authentifizierung des aktuellen Benutzers in einem bestimmten Microsoft-Onlinedienst verwendet werden.
Beachten Sie, dass ein Angreifer versuchen kann, die von dieser Sicherheitsanfälligkeit offengelegten Informationen zu verwenden, um einen Wiedergabeangriff auf einen gezielten Microsoft-Onlinedienst zu nutzen. Beispielsweise wird ein Benutzer dazu vertrickt, auf einen Link zu klicken, um eine Office-Datei zu öffnen, die auf einer schädlichen Website gehostet wird. Da diese Sicherheitsanfälligkeit ausgenutzt wird, kann die böswillige Website eine speziell gestaltete Antwort verwenden, um das Zugriffstoken des Benutzers zu ermitteln, das zur Authentifizierung bei einem bestimmten Microsoft-Dienst verwendet wird. Ein Angreifer könnte dann das Zugriffstoken erneut an die bestimmte SharePoint-Website übergeben, um die Identität des Benutzers zu imitieren. Ein Angreifer, der erfolgreich die Identität des Benutzers annimmt, kann dann Aktionen im Namen des Benutzers auf der Zielwebsite ausführen.
Wie kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen?
Die Ausnutzung dieser Sicherheitsanfälligkeit erfordert, dass ein Benutzer versucht, eine Office-Datei zu öffnen, die auf einer schädlichen Website gehostet wird, indem eine betroffene Version der Microsoft Office-Software verwendet wird.
In einem webbasierten Angriffsszenario könnte ein Angreifer eine Website hosten, die verwendet wird, um diese Sicherheitsanfälligkeit auszunutzen. Außerdem können kompromittierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen könnten. In allen Fällen hätte ein Angreifer jedoch keine Möglichkeit, Benutzer dazu zu zwingen, von Angreifern kontrollierte Inhalte anzuzeigen. Stattdessen müsste ein Angreifer benutzer dazu bringen, Maßnahmen zu ergreifen. Beispielsweise könnte ein Angreifer Benutzer dazu verleiten, auf einen Link zu klicken, der versucht, eine Office-Datei zu öffnen, die auf der Website des Angreifers gehostet wird.
Welche Systeme sind in erster Linie durch die Sicherheitslücke gefährdet?
Systeme wie Arbeitsstationen und Terminalserver, auf denen Microsoft Office-Software verwendet wird, sind in erster Linie gefährdet. Server könnten einem größeren Risiko ausgesetzt sein, wenn Administratoren benutzern erlauben, sich bei Servern anzumelden und Programme auszuführen. Bewährte Methoden raten jedoch dringend davon ab, dies zuzulassen.
Was bewirkt das Update?
Das Update behebt die Sicherheitsanfälligkeit, indem sichergestellt wird, dass die Microsoft Office-Software speziell gestaltete Antworten von Websites ordnungsgemäß verarbeitet.
Wurde dieses Sicherheitsrisiko bei der Ausgabe dieses Security Bulletins öffentlich bekannt gegeben?
Nein. Microsoft hat informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten.
Hat Microsoft bei der Ausgabe dieses Security Bulletins Berichte erhalten, dass diese Sicherheitsanfälligkeit ausgenutzt wurde?
Nein. Microsoft hatte keine Informationen erhalten, die darauf hindeuten, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich veröffentlicht wurde.
Erkennungs- und Bereitstellungstools und Anleitungen
Es stehen mehrere Ressourcen zur Verfügung, um Administratoren bei der Bereitstellung von Sicherheitsupdates zu unterstützen.
- Mit Microsoft Baseline Security Analyzer (MBSA) können Administratoren lokale und Remotesysteme auf fehlende Sicherheitsupdates und häufige Sicherheitsfehler überprüfen.
- Windows Server Update Services (WSUS), Systems Management Server (SMS) und System Center Configuration Manager Administratoren beim Verteilen von Sicherheitsupdates unterstützen.
- Die Komponenten für die Updatekompatibilitätsauswertung, die im Application Compatibility Toolkit enthalten sind, helfen bei der Optimierung des Testens und Überprüfens von Windows-Updates für installierte Anwendungen.
Informationen zu diesen und anderen verfügbaren Tools finden Sie unter Sicherheitstools für IT-Experten.
Bereitstellung von Sicherheitsupdates
Microsoft Office 2007 (alle Editionen)
Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
| Name der Sicherheitsupdatedatei | Für Microsoft Office 2007 (Korrekturhilfen für das Sprachpaket für vereinfachtes Chinesisch):\ proof2007-kb2767772-fullfile-x86-zh-cn.exe |
|---|---|
| Installationsschalter | Siehe Microsoft Knowledge Base-Artikel 912203 |
| Erforderlicher Neustart | In einigen Fällen ist für dieses Update kein Neustart erforderlich. Wenn die erforderlichen Dateien verwendet werden, erfordert dieses Update einen Neustart. Wenn dieses Verhalten auftritt, wird eine Meldung angezeigt, in der Sie zum Neustart aufgefordert werden.\ \ Um die Wahrscheinlichkeiten zu verringern, dass ein Neustart erforderlich ist, beenden Sie alle betroffenen Dienste und schließen Sie alle Anwendungen, die die betroffenen Dateien möglicherweise vor der Installation des Sicherheitsupdates verwenden. Weitere Informationen zu den Gründen, aus dem Sie möglicherweise zum Neustart aufgefordert werden, finden Sie im Microsoft Knowledge Base-Artikel 887012. |
| Informationen zum Entfernen | Verwenden Sie in Systemsteuerung das Element Software hinzufügen oder entfernen. |
| Dateiinformationen | Für Microsoft Office 2007 (Korrekturhilfen für das Sprachpaket für vereinfachtes Chinesisch):\ Siehe Microsoft Knowledge Base-Artikel 2767772 |
| Überprüfung des Registrierungsschlüssels | Nicht verfügbar |
Microsoft Office 2010 (alle Editionen)
Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
| Name der Sicherheitsupdatedatei | Für Microsoft Office 2010 (32-Bit-Editionen) (Korrekturhilfen):\ proofloc2010-kb2878284-fullfile-x86-glb.exe |
|---|---|
| Für Microsoft Office 2010 (64-Bit-Editionen) (Korrekturhilfen):\ proofloc2010-kb2878284-fullfile-x64-glb.exe | |
| Installationsschalter | Siehe Microsoft Knowledge Base-Artikel 912203 |
| Erforderlicher Neustart | In einigen Fällen ist für dieses Update kein Neustart erforderlich. Wenn die erforderlichen Dateien verwendet werden, erfordert dieses Update einen Neustart. Wenn dieses Verhalten auftritt, wird eine Meldung angezeigt, in der Sie zum Neustart aufgefordert werden.\ \ Um die Wahrscheinlichkeiten zu verringern, dass ein Neustart erforderlich ist, beenden Sie alle betroffenen Dienste und schließen Sie alle Anwendungen, die die betroffenen Dateien möglicherweise vor der Installation des Sicherheitsupdates verwenden. Weitere Informationen zu den Gründen, aus dem Sie möglicherweise zum Neustart aufgefordert werden, finden Sie im Microsoft Knowledge Base-Artikel 887012. |
| Informationen zum Entfernen | Dieses Sicherheitsupdate kann nicht deinstalliert werden. |
| Dateiinformationen | Für Microsoft Office 2010 (Korrekturhilfen):\ Siehe Microsoft Knowledge Base-Artikel 2878284 |
| Überprüfung des Registrierungsschlüssels | Nicht verfügbar |
Microsoft Office 2013 (alle Editionen)
Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
| Name der Sicherheitsupdatedatei | Für unterstützte Editionen von Microsoft Office 2013 (32-Bit-Editionen) (Korrekturhilfen):\ proofloc2013-kb2880463-fullfile-x86-glb.exe |
|---|---|
| Für unterstützte Editionen von Microsoft Office 2013 (32-Bit-Editionen) (mso):\ mso2013-kb2878316-fullfile-x86-glb.exe | |
| Für unterstützte Editionen von Microsoft Office 2013 (64-Bit-Editionen) (Korrekturhilfen):\ proofloc2013-kb2880463-fullfile-x64-glb.exe | |
| Für unterstützte Editionen von Microsoft Office 2013 (64-Bit-Editionen) (mso):\ mso2013-kb2878316-fullfile-x64-glb.exe | |
| Installationsschalter | Siehe Microsoft Knowledge Base-Artikel 912203 |
| Erforderlicher Neustart | In einigen Fällen ist für dieses Update kein Neustart erforderlich. Wenn die erforderlichen Dateien verwendet werden, erfordert dieses Update einen Neustart. Wenn dieses Verhalten auftritt, wird eine Meldung angezeigt, in der Sie zum Neustart aufgefordert werden.\ \ Um die Wahrscheinlichkeiten zu verringern, dass ein Neustart erforderlich ist, beenden Sie alle betroffenen Dienste und schließen Sie alle Anwendungen, die die betroffenen Dateien möglicherweise vor der Installation des Sicherheitsupdates verwenden. Weitere Informationen zu den Gründen, aus dem Sie möglicherweise zum Neustart aufgefordert werden, finden Sie im Microsoft Knowledge Base-Artikel 887012. |
| Informationen zum Entfernen | Verwenden Sie in Systemsteuerung das Element Software hinzufügen oder entfernen. |
| Dateiinformationen | Für unterstützte Editionen von Microsoft Office 2013 (Korrekturhilfen):\ Siehe Microsoft Knowledge Base-Artikel 2880463 |
| ** ** | Für unterstützte Editionen von Microsoft Office 2013 (mso):\ Siehe Microsoft Knowledge Base-Artikel 2878316 |
| Überprüfung des Registrierungsschlüssels | Nicht verfügbar |
Microsoft Office 2013 RT (alle Editionen)
Referenztabelle
Die folgende Tabelle enthält die Sicherheitsupdateinformationen für diese Software.
| Bereitstellung | Die 2880463- und 2878316-Updates für Microsoft Office 2013 RT sind über Windows Update verfügbar. |
|---|---|
| Erforderlicher Neustart | In einigen Fällen ist für dieses Update kein Neustart erforderlich. Wenn die erforderlichen Dateien verwendet werden, erfordert dieses Update einen Neustart. Wenn dieses Verhalten auftritt, wird eine Meldung angezeigt, in der Sie zum Neustart aufgefordert werden.\ \ Um die Wahrscheinlichkeiten zu verringern, dass ein Neustart erforderlich ist, beenden Sie alle betroffenen Dienste und schließen Sie alle Anwendungen, die die betroffenen Dateien möglicherweise vor der Installation des Sicherheitsupdates verwenden. Weitere Informationen zu den Gründen, aus dem Sie möglicherweise zum Neustart aufgefordert werden, finden Sie im Microsoft Knowledge Base-Artikel 887012. |
| Informationen zum Entfernen | Klicken Sie auf Systemsteuerung, klicken Sie auf System und Sicherheit, klicken Sie auf Windows Update, und klicken Sie dann unter Siehe auch auf Installierte Updates, und wählen Sie aus der Liste der Updates aus. |
| Dateiinformationen | Siehe Microsoft Knowledge Base-Artikel 2880463 und Microsoft Knowledge Base-Artikel 2878316 |
Danksagungen
Microsoft dankt ihnen für die Zusammenarbeit mit uns zum Schutz von Kunden:
- NSFOCUS-Sicherheitsteam für den Hinweis auf die Sicherheitsanfälligkeit bei der Grammatikprüfung in Microsoft Office Chinesisch (CVE-2014-1756)
- Arnaud Maillet von ANSSI für den Hinweis auf die Sicherheitsanfälligkeit in Bezug auf die Tokenwiederverwendung (CVE-2014-1808)
Sonstige Informationen
Microsoft Active Protections Program (MAPP)
Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft sicherheitsrelevante Informationen für wichtige Anbieter von Sicherheitssoftware vor jedem monatlichen Release von Sicherheitsupdates bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte aktualisierten Schutz bereitzustellen, z. B. Virenschutz, netzwerkbasierte Eindringerkennungssysteme oder hostbasierte Intrusion Prevention-Systeme. Um zu ermitteln, ob aktive Schutze von Sicherheitssoftwareanbietern verfügbar sind, navigieren Sie zu den aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden und unter Microsoft Active Protections Program (MAPP) Partner aufgeführt sind.
Support
So erhalten Sie Hilfe und Support für dieses Sicherheitsupdate
- Hilfe beim Installieren von Updates: Support für Microsoft Update
- Sicherheitslösungen für IT-Experten: TechNet Security Troubleshooting and Support
- Schützen Sie Ihren Computer, auf dem Windows ausgeführt wird, vor Viren und Schadsoftware: Virus Solution and Security Center
- Lokaler Support je nach Land: Internationaler Support
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (13. Mai 2014): Bulletin veröffentlicht.
- V1.1 (13. Mai 2014): Der Updateersatz für das Update von Microsoft Office 2010 (Korrekturhilfen) (2878284) wurde korrigiert.
Seite generiert 2014-06-25 9:32Z-07:00.