Eine bis dahin unbekannte Sicherheitslücke in Microsoft Excel ist durch einige gezielte Angriffe mit präparierten Excel-Dateien entdeckt worden. Breit gestreute Angriffe mit Spam-artigen Mails oder über das Web sind bislang nicht bekannt. Microsoft hat die Existenz der neuen Sicherheitslücke bestätigt und die Sicherheitsmitteilung 968272 heraus gegeben, in der alle Versionen von Excel als anfällig bezeichnet werden. An anderer Stelle heißt es allerdings, unter Vista würden der Exploit nicht funktionieren.
Im Microsoft-Blog "Security Research & Defense" liefern Sicherheitsfachleute von Microsoft regelmäßig technische Hintergrundinformationen zu Sicherheitslücken in Microsoft-Produkten, meist nach einem Patch Day. Zur aktuellen Excel-Schwachstelle heißt es dort, die bislang bekannten Angriffe zielten auf Anwender von Microsoft Office 2007, die mit Windows XP arbeiten. Ohne substanzielle Verbesserungen seitens der Angreifer sei der Exploit-Code weder unter Windows Vista noch mit älteren Versionen von Office erfolgreich.
Es handele sich um den ersten funktionsfähigen Exploit für Office 2007, den man in freier Wildbahn entdeckt habe. Der Exploit ziele jedoch nicht auf das neue, XML-basierte Dateiformat XLSX von Office 2007 sondern auf das alte XLS-Binärformat früherer Excel-Versionen. Auf Grund der Art und Weise, wie Office 2007 mit solchen Dateien umgehe, sei es für Angreifer einfacher geworden, funktionierenden Exploit-Code zu schreiben. Der anfällige Programm-Code sei zwar auch in älteren Excel-Versionen vorhanden, würde dort allerdings eher zum Absturz von Excel führen.
Ein Trojanisches Pferd wird ausgeführt
Im Erfolgsfall provoziert das Öffnen eines derart präparierten Excel-Dokuments in Office 2007 einen Pufferüberlauf und eingeschleuster, so genannter Shellcode wird ausgeführt. Dieser legt zwei Dateien auf der Festplatte ab, eine binäre Programmdatei und eine saubere, also Exploit-freie Excel-Datei. Excel wird beendet und mit dem sauberen Dokument neu gestartet. Im für die Angreifer günstigen Fall geht das so schnell, dass der Anwender davon nichts bemerkt.
Außerdem ruft der Shellcode die als "rundll.exe" im TEMP-Verzeichnis abgelegte Programmdatei auf, ein Trojanisches Pferd. Patrick Fitzgerald von Symantec berichtet, der Binär-Code dieses Schädlings sei mit einigen Tricks verschleiert. So werde etwa paarweise Zeichenvertauschung verwendet, sodass beispielsweise der regelmäßig in EXE-Dateien enthaltene Satz "This program cannot be executed in DOS mode." als "hTsip orgmac naon tebr nui nOD Somed" erscheint. Damit soll die Entdeckung des Codes erschwert werden. Der Schädling versucht weitere schädliche Dateien von drei taiwanesischen Servern herunter zu laden.
Neben der nahe liegenden Vermeidungsstrategie Excel-Dateien unbekannter Herkunft nicht zu öffnen empfiehlt Microsoft Anwendern von Office 2003 und 2007 die Aktivierung von MOICE (Microsoft Office Isolated Conversion Environment). Dadurch werden Office-Dateien aus dem alten Binärformat vor dem Öffnen in Office in das neue, XML-basierte Dateiformat von Office 2007 konvertiert. Der Exploit-Code soll so unschädlich gemacht werden. (PC-Welt/mja)