Microsoft Word-Fehler könnte Hackern ermöglichen, Ihren Computer zu infizieren.

Sicherheitsexperten haben in Microsoft Office 2016 und älteren Versionen einen nicht gepatchten logischen Fehler entdeckt, der es einem Angreifer ermöglichen könnte, bösartige Codes in eine Dokumentdatei einzubetten, wodurch Benutzer dazu gebracht werden, Malware auf ihren Computern auszuführen.

Der von Cymulate-Forschern entdeckte Fehler missbraucht die Option „Online-Video“ in Word-Dokumenten, eine Funktion, mit der Benutzer ein Online-Video mit einem Link zu YouTube einbetten können (siehe Abbildung).

Wenn ein Benutzer einem MS Word-Dokument eine Online-Video-Verknüpfung hinzufügt, generiert die Online-Video-Funktion automatisch ein HTML-Einbettungsskript, das ausgeführt wird, wenn der Viewer auf die Miniaturansicht im Dokument klickt.

Experten haben beschlossen, ihre Entdeckungen drei Monate nach Veröffentlichung der Erkenntnisse von Microsoft als Sicherheitsmangel anzuerkennen.

Wie funktioniert der neue MS Word-Angriff?

Da es sich bei den Word Doc-Dateien (.docx) um ZIP-Pakete ihrer Medien und Konfigurationsdateien handelt, können diese problemlos geöffnet und bearbeitet werden.

Den Experten zufolge kann die Konfigurationsdatei ‚document.xml‘, eine von Word verwendete Standard-XML-Datei, die den generierten eingebetteten Videocode enthält, bearbeitet werden, um den aktuellen Video-iFrame-Code durch einen beliebigen HTML- oder Javascript-Code zu ersetzen und ein Programm im Hintergrund auszuführen.

In einfachen Worten: Ein Angreifer kann den Fehler ausnutzen, indem er das eigentliche YouTube-Video durch ein schädliches Video ersetzt, das vom Internet Explorer-Download-Manager ausgeführt wird.

„Suchen Sie in der XML-Datei nach dem Parameter embeddedHtml (unter WebVideoPr), der den Youtube-iframe-Code enthält“, so die Experten. „Speichern Sie die Änderungen in der Datei document.xml ab, aktualisieren Sie das docx-Paket mit der geänderten XML-Datei und öffnen Sie das Dokument erneut. Beim Öffnen dieses Dokuments mit Microsoft Word wird keine Sicherheitswarnung angezeigt.“

Videodemonstation: MS Word-Online-Videofehler

Um das Ausmaß der Sicherheitslücke zu beweisen, erstellten die Cymulate-Forscher einen Proof-of-Concept-Angriff, der demonstriert, wie ein in böswilliger Absicht erstelltes Dokument mit einem eingebetteten Video den Benutzer zum Ausführen einer eingebetteten ausführbaren Datei auffordert (als Blob einer base64). – ohne das Herunterladen von Daten aus dem Internet oder Anzeigen einer Sicherheitswarnung, wenn das Opfer auf die Miniaturansicht des Videos klickt.

Der Hack erfordert, dass ein Angreifer die Opfer dazu bringt, ein Dokument zu öffnen und dann auf einen eingebetteten Videolink zu klicken.

Cymulate-Forscher meldeten diesen Fehler, der alle Benutzer von MS Office 2016 und älteren Versionen der Produktivitätssuite vor drei Monaten betroffen hatte, gegenüber Microsoft, doch das Unternehmen lehnte es ab, dies als Sicherheitslücke anzuerkennen.

Anscheinend hat Microsoft nicht vor, das Problem zu beheben, und sagt, dass seine Software „HTML wie vorgesehen interpretiert“.

In der Zwischenzeit empfehlen die Experten den Unternehmensadministratoren, Word-Dokumente mit dem eingebetteten Video-Tag: „embeddedHtml“ in der Datei Document.xml zu blockieren, und Endbenutzern wird empfohlen, keine ungeladenen E-Mail-Anhänge aus unbekannten oder verdächtigen Quellen zu öffnen.