Laut einer dringenden Warnung des weltgrößten Softwareherstellers nutzen russische Spione und Cyberkriminelle aktiv noch immer ungepatchte Sicherheitslücken in Microsoft Windows- und Office-Produkten aus.
In einem ungewöhnlichen Schritt dokumentierte Microsoft „eine Reihe von Sicherheitslücken bei der Remotecodeausführung“, die sich auf Windows- und Office-Benutzer auswirkten, und bestätigte, dass es mehrere Berichte über gezielte Codeausführungsangriffe mithilfe von Microsoft Office-Dokumenten untersucht.
Die Sicherheitsexperten von Redmond haben die ungepatchten Office-Schwachstellen mit der Kennung CVE-2023-36884 gekennzeichnet und angedeutet, dass möglicherweise vor dem Patch-Dienstag im nächsten Monat ein Out-of-Band-Patch veröffentlicht wird.
Aus dem Bulletin CVE-2023-36884:
„Microsoft untersucht Berichte über eine Reihe von Sicherheitslücken bei der Remotecodeausführung, die sich auf Windows- und Office-Produkte auswirken. Microsoft ist sich gezielter Angriffe bewusst, die versuchen, diese Schwachstellen durch die Verwendung speziell gestalteter Microsoft Office-Dokumente auszunutzen.
Ein Angreifer könnte ein speziell gestaltetes Microsoft Office-Dokument erstellen, das es ihm ermöglicht, Remote-Codeausführung im Kontext des Opfers durchzuführen. Allerdings müsste ein Angreifer das Opfer dazu verleiten, die Schaddatei zu öffnen.
Nach Abschluss dieser Untersuchung wird Microsoft die entsprechenden Maßnahmen ergreifen, um zum Schutz unserer Kunden beizutragen. Dies kann je nach Kundenbedarf die Bereitstellung eines Sicherheitsupdates im Rahmen unseres monatlichen Veröffentlichungsprozesses oder die Bereitstellung eines Sicherheitsupdates außerhalb des Zyklus umfassen.“
In einem separaten Blog teilte das Threat-Intelligence-Team von Microsoft mit, es habe eine Phishing-Kampagne mit Zero-Day-Exploits von Office gemeldet, die auf Verteidigungs- und Regierungsbehörden in Europa und Nordamerika abzielte. „Die Kampagne beinhaltete den Missbrauch von CVE-2023-36884 , der eine Sicherheitslücke zur Remotecodeausführung beinhaltete, die über Microsoft Word-Dokumente ausgenutzt wurde, wobei Köder im Zusammenhang mit dem Ukrainischen Weltkongress eingesetzt wurden“, warnte das Unternehmen.
Der Zero-Day von Microsoft Office macht Schlagzeilen über einen Monster-Patch-Dienstag, bei dem Patches für mehr als 130 dokumentierte Sicherheitsmängel im Microsoft Windows-Ökosystem veröffentlicht werden.
Nach Angaben von ZDI , einem Unternehmen, das Software-Patches verfolgt, werden neun der Schwachstellen als „kritisch“ eingestuft, die höchste Schweregradbewertung von Microsoft.
„Diese Menge an Korrekturen ist die höchste, die wir in den letzten Jahren gesehen haben“, stellte ZDI fest und warnte, dass mindestens fünf Fehler in der Kategorie „durch Ausnutzung erkannt“ aufgeführt seien.