Was ist passiert?

Am 14.02.2023 hat Microsoft Details zu einer kritischen Schwachstelle in Microsoft Office Produkten veröffentlicht. Dabei handelt es sich um eine Schwachstelle, bei der ein Angreifer Zugriff aus der Ferne erlangen kann, wenn diese Schwachstelle ausgenutzt wird. Damit dies möglich ist, kann ein Angreifer eine E-Mail mit einem Dateianhang im RTF Format versenden, die bösartigen Code enthält. Sobald der Empfänger die E-Mail in der Outlookvorschau öffnet, wird der bösartige Code ausgeführt und der Angreifer kann sich somit Zugriff auf den Computer des Empfängers verschaffen.

 

Was ist RTF?

Das Rich Text Format (RTF) ist ein proprietäres Dateiformat für Texte, das von Microsoft 1987 eingeführt wurde. Es kann als Austauschformat zwischen Textverarbeitungsprogrammen verschiedener Hersteller auf verschiedenen Betriebssystemen dienen. Ebenso wird es zum Beispiel für die Darstellung formatierten Textes in Datenbankfeldern eingesetzt.

Wikipedia (2023): Rich Text Format, [online] https://de.wikipedia.org/wiki/Rich_Text_Format [10.03.2023].

 

Wie groß ist die Gefahr?

Microsoft selbst stuft die Schwachstelle als sehr kritisch mit einem Score von 9.8/10 ein, gibt allerdings auch an, dass eine Ausnutzung derzeit als unwahrscheinlich gilt. Zum jetzigen Zeitpunkt gibt es noch keine Hinweise darauf, dass diese Sicherheitslücke bereits erfolgreich ausgenutzt wurde. Allerdings existiert ein sogenannter PoC (Proof of Context), also ein theoretisches Konzept, wie die Sicherheitslücke auszunutzen wäre.

 

Wie sollten Sie reagieren?

Microsoft hat bereits Sicherheitsupdates für diese Sicherheitslücke bereitgestellt, diese Updates verhindern das Öffnen von RTF Dokumenten aus unsicherer Quelle. Alternativ kann dies auch manuell durchgeführt werden:

Dazu macht Microsoft folgende Angaben:

1. Run regedit.exe as Administrator and navigate to the following subkey:

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock]

2. Set theRtfFilesDWORD value to2.
3. Set the OpenInProtectedView DWORD value to0.

Wir empfehlen dringend, die aktuellen Sicherheitsupdates für Microsoft Office zu installieren

Für unsere Managed Client Kunden werden diese Sicherheitsupdates automatisch installiert, weiterhin haben wir für alle Managed E-Mail und Managed Firewall Kunden vorsorglich E-Mail Anhänge im RTF Dateiformat geblockt.

 

Wenn Sie weitere Informationen zu dem Thema oder wie Sie Ihre IT schützen können, erhalten möchten, können Sie uns jederzeit gerne kontaktieren und einen Termin zu einem kostenlosen Erstgespräch buchen.
Weiterhin empfehlen wir auch unser kostenloses Whitepaper „Wie schütze ich mein Unternehmen gegen Cyberattacken“.