Chinese Chars

Sicherheitslücke in Microsoft Powerpoint

Schwachstelle wird bereits von Angreifern ausgenutzt
Von Christian Horn

Symantec meldet eine bislang undokumentierte Sicherheitslücke in Microsoft Powerpoint. Die Schwachstelle wird bereits von Angreifern ausgenutzt. Symantec hat präparierte Powerpoint-Dateien aufgespürt, die im Anhang von E-Mails unterwegs sind. Die E-Mail, die als Absender einen GMail-Account angibt und an "Undisclosed-Recipient" adressiert ist, enthält die Betreffzeile "Chinese Chars" und hat die Powerpoint-Datei Chinese Chars.ppt im Anhang. Die Verbreitung der Malware-beladenen Mail stuft Symantec bislang noch als gering ein. Ein Microsoft-Sprecher bezeichnete den Angriff als "extrem begrenzt". Neuere Powerpoint-Versionen würden zudem vor dem Öffnen von Powerpoint-Dokumenten aus E-Mails eine Warnmeldung ausgeben. Folie mit chinesischen Schriftzeichen

Öffnet ein Nutzer dennoch die präparierte Datei aus dem E-Mail-Anhang wird der Trojaner PPDropper.B aktiviert, der eine Variante des Backdoor-Programms Bifrose.E installiert. Bifrose.E beinhaltet Keylogger-Funktionalitäten zum Diebstahl sensibler Informationen, die an einen Remote-Server der Angreifer geschickt werden können. Nach dem Absetzten der Backdoor injiziert PPDropper.B eine Schadroutine in die Explorer.exe, womit die präparierte Powerpoint-Datei überschrieben und ein leeres Dokument erzeugt wird, das bei Ausführung jedoch eine Folie mit chinesischen Schriftzeichen präsentiert.

Halten die Angreifer Exploits für unbekannte Sicherheitslücken vorrätig?

Amerikanische Medien fragen mit leichtem Augenzwinkern, ob es wohl ein Déjà-vu sei, dass nur einen Tag nach Microsofts Patch-Day eine Sicherheitslücke in einem Office-Programm auftaucht. Unter Sicherheits-Experten gilt es als ausgemacht, dass die Angreifer Exploits für unbekannte Sicherheitslücken vorrätig halten und diese direkt nach einem Patch-Day lancieren, um einen vollen Monat bis zum nächsten Patch-Day für ihre Angriffe nutzen zu können. Im Juni war kurz nach der Veröffentlichung der monatlichen Sicherheits-Updates eine bis dato unbekannte Sicherheitslücke in Excel in einem ähnlichen Angriffs-Szenario ausgenutzt worden. Die besagte Excel-Schwachstelle wurde zwar inzwischen repariert, für weitere im Juni aufgetauchte Excel-Schwachstellen wurden aber noch keine Patches veröffentlicht.