Thema: Schwachstellen in Microsoft Office

[SiLæncer]

Nach Angaben eines Kryptologen des Institute of Infocomm Research in Singapur hat Microsoft die in Office-Produkte eingebaute Verschlüsselung fehlerhaft implementiert. Angreifer können aus mehreren Dokumenten den Inhalt restaurieren.

Word- und Excel-Datien lassen sich mit einem Passwort schützen. Dazu wird der Stromchiffrieralgorithmus RC4 mit einer Schlüssellänge von 128 Bit verwendet, aus dem ein Schlüsselstrom generiert wird, der genauso lang wie das zu verschlüsselnde Dokument ist. Üblichweise benutzt man hierfür noch einen zusätzlichen, (pseudo)-zufälligen Initialisierungsvektor, damit der selbe Schlüsselstrom nicht mehrfach Einsatz findet. Andernfalls wäre das Chiffrat anfälliger für Kryptanalysen.

Genau diesen Fehler hat wohl Microsoft bei der Programmierung gemacht: Der Initialisierungsvektor eines geschützten Dokuments ändert sich nie. Nimmt ein autorisierter Anwender Änderungen an einem Dokument vor und speichert es anschließend, so wird der ursprüngliche Schlüsselstrom wieder verwendet.

Damit ein Angreifer eine Kryptanalyse starten kann, muss er allerdings in den Besitz von mindestens zwei Dokumenten gleichen Namens, aber unterschiedlichen Inhalts gelangen, die mit dem gleichen Passwort geschützt sind -- beispielsweise indem er den Mailverkehr belauscht. Wie einfach das allerdings geht, zeigt der Artikel über ARP-Spoofing "Angriff von innen" auf heise Security.

Medienberichten zufolge analysiere Microsoft derzeit das Problem, gehe aber von einem sehr geringen Risiko für Anwender aus. Bruce Schneier, anerkannter Kryptoexperte und Autor von "Applied Cryptography", wirft den Redmondern in seinem Weblog vor, einen Anfängerfehler begangen zu haben. Zudem habe man nichts dazu gelernt -- den gleichen Fehler habe Microsoft bereits 1999 bei der Implementierung des Windows NT Syskeys begangen.

Quelle : www.heise.de

[Jürgen]

Für eine kürzlich veröffentlichte Schwachstelle in Microsofts Jet Database Engine ist nun ein Proof-of-Concept-Exploit zur Demonstration erschienen. Die Jet Engine wird zum Zugriff auf lokale, dateibasierte Datenbanken verwendet, unter anderem Access und dBase. Der Exploit erzeugt eine .mdb-Datenbankdatei, die beim Laden in Microsoft Access eingebetteten Code ausführt. Ein Opfer muss dazu aber selbst eine präparierte Datenbankdatei laden, die beispielsweise per Mail auf den Rechner gelangt.

Der Fehler findet sich in der msjet40.dll bis einschließlich Version 4.00.8618.0, wie sie auch in Access 2003 enthalten ist. Betroffen sein sollen aber auch Access 2000/2002 und Office 2000/2003. Der Entdecker der Lücke hat Microsoft nach eigenen Angaben informiert. Ein Patch steht bislang noch nicht zur Verfügung. Anwender sollten keine Datenbankdateien laden, deren Herkunft und Vertrauenswürdigkeit sie nicht verifizieren können.

Siehe dazu auch:

    * Microsoft Jet DB engine vulnerabilities Fehlerreport von Hexview

(dab/c't) Quelle und Links:
http://www.heise.de/newsticker/meldung/58465

Anmerkung von mir:
Ich habe kurz einmal nach *.mdb gesucht, diverse gefunden. Z.B. auch in DVBsVCR die EPG_Database.mdb
Also ist das Thema nicht ganz harmlos, falls Access oder ähnliche Anwendungen installiert sind.

Jürgen

[SiLæncer]

Microsoft untersucht nach US-Berichten einen kürzlich aufgetauchten Trojaner, der eine seit April bekannte Lücke in Microsoft Office ausnutzt -- ein Patch haben die Redmonder dafür bisher nicht veröffentlicht. Der von Symantec Backdoor.Hesive getaufte Schadcode versteckt sich in Access-Dateien (.mdb) und verursacht beim Laden in Access einen Buffer Overflow, über den er sich auf den Rechner kopiert und startet.

Hesive öffnet auf Port 80 eine Hintertür, durch die ein Angreifer Zugriff auf den Rechner erhält -- sofern keine Firewall dies verhindert. Laut Microsoft ist der Unhold bislang aber noch kaum verbreitet und soll sich auch leicht entfernen lassen. Microsoft weist Anwender derweil darauf hin, nur Access-Dateien aus vertrauenswürdigen Quellen zu öffnen. Ob nun ein Sicherheits-Update veröffentlicht wird, lässt Microsoft aber weiterhin offen.

Siehe dazu auch:

    * Backdoor.Hesive, Beschreibung von Symantec

Quelle und Links : http://www.heise.de/newsticker/meldung/64541

[SiLæncer]

Ein weiteres Sicherheitsleck in Microsofts Office könnten Angreifer etwa über manipulierte Word-Dokumente ausnutzen, um Schadcode auf betroffene Systeme einzuschleusen. Der Entdecker der Lücke, Naveed Afzal, stellt ein Dokument bereit, das die Schwachstelle nutzt, um einen Absturz der Anwendung zu verursachen.

Der Fehler beruht auf einem Pufferüberlauf in der Funktion LsCreateLine in der Funktionsbibliothek mso.dll. Laut Afzal soll sich die Lücke zum Einschleusen von Code nutzen lassen. Betroffen sind dem Proof-of-Concept-Code zufolge Office 2000, XP und 2003. Bei Office 97 dagegen reagierte Word bei einem Test durch heise Security auf das Dokument mit Herumspringen zwischen den einzelnen Seiten, stürzte jedoch nicht ab. Ob Microsoft die Lücke am morgigen Patchday abdichten wird, ist unklar.

Siehe dazu auch:

    * MS Word Unchecked Boundary Condition Vulnerability - POC, Sicherheitsmeldung von Naveed Afzal auf Full Disclosure


Quelle und Links : http://www.heise.de/security/news/meldung/75242

[SiLæncer]

Das Sicherheitsunternehmen Symantec hat ein Trojanisches Pferd entdeckt, das eine bislang noch unbekannte Sicherheitslücke in Microsofts Office angreift. Nach dem Öffnen des verseuchten Dokuments mit Word aus der Office-Suite 2000 legt dieses eine neue Datei an und startet diese. Symantec erkennt den Schädling als Mdropper.Q. Dieser lädt wiederum die Hintertür Backdoor.Femo nach.

Durch diese Hintertür können Angreifer die Windows-Kommandozeile nutzen, ausführbare Dateien starten, Dateien und Verzeichnisse löschen und anlegen sowie Dateien aus dem Netz herunterladen. Die Verbreitung von Mdropper.Q ist bislang nach Symantecs Einschätzung noch gering. Dennoch sollten Anwender Vorsicht walten lassen und keine Office-Dokumente aus unbekannten Quellen öffnen; auch Dokumente im Anhang von E-Mails von Kollegen sind verdächtig, sofern sie ohne Absprache zugesandt wurden: In der Vergangenheit hatten Angreifer gefälschte Absenderadressen in E-Mails genutzt, um die Schädlinge auf Rechner in Firmen einzuschleusen.

Siehe dazu auch:

    * Trojan.Mdropper.Q, Beschreibung von Symantec
    * Backdoor.Femo, Beschreibung von Symantec

Quelle und Links : http://www.heise.de/security/news/meldung/77661

[SiLæncer]

Microsoft hat zu der am Montag dieser Woche bekannt gewordenen Sicherheitslücke in Word 2000 eine eigene Sicherheitsmeldung veröffentlicht. Darin bestätigt das Unternehmen das Sicherheitsleck und macht Vorschläge, wie die Gefahr durch präparierte Word-Dokumente abgewendet werden kann.

Die Sicherheitsexperten Microsofts seien noch dabei, die Schwachstelle zu untersuchen, so die Sicherheitsmeldung. Außerdem entwickele man einen Patch – allerdings nennt das Advisory kein Erscheinungsdatum. Es ist daher eher unwahrscheinlich, dass das Unternehmen die Sicherheitslücke schon zum September-Patchday am kommenden Dienstag abdichtet.

Microsoft empfiehlt, Dokumente aus unbekannten Quellen und unverlangt zugesandte Word-Dokumente auch aus bekannen Quellen nicht zu öffnen oder abzuspeichern. Der Word-Viewer 2003 scheint gegen den Angriff immun zu sein, sodass das Unternehmen empfiehlt, Dokumente bis zur Veröffentlichung eines Updates damit zu öffnen.

Siehe dazu auch:

    * Vulnerability in Word Could Allow Remote Code Execution, Sicherheitsmeldung von Microsoft
    * Microsoft Word 0-day Vulnerability FAQ, häufige Fragen und Antworten zum Zero-Day-Exploit von Juha-Matti Laurio

Quelle und Links : http://www.heise.de/security/news/meldung/77842

[SiLæncer]

Microsofts neue Bürosuite holt sich viele Daten aus dem Web, und insgeheim versendet sie auch Nachrichten an einen Marktforscher. Schon im November vergangenen Jahres berichtete c't, dass Office 2007 spontan im Web nachschlägt, wenn sich der Anwender mit PowerPoint-Stilelementen, ClipArts oder auch nur mit der Online-Hilfe befasst. Diese macht ihrem Namen dabei alle Ehre, denn mit den Anleitungen von der Festplatte gibt sie sich nur zufrieden, wenn der Weg ins Internet versperrt ist, ansonsten holt sie ausführlichere Texte vom Microsoft-Server.

Nun musste das Softwarehaus zugeben, dass der Klick auf den Hilfe-Button noch mehr Informationen auf die Reise schickt: Im gleichen Atemzug sendet Office nämlich offenbar auch ein Cookie an das Marktforschungsunternehmen Webtrends. Dabei scheint eine ungewöhnliche Technik zum Einsatz zu kommen: Üblicherweise veranlasst der Besuch einer Webseite den adressierten Server dazu, dem Client ein Cookie zum Download anzubieten, dessen Inhalt er sich bei einem späteren Besuch wieder zurückschicken lassen kann – vorausgesetzt, der Anwender hat seinem Browser das Mitspielen an solchen Informationstransfers nicht verboten. Hier allerdings sind die Kontrollmechanismen des Browsers anscheinend gar nicht gefragt, denn offenbar schickt das Office-Programm auf eigene Initiative ein Cookie vom Client-Rechner an eine vorgegebene Webadresse.

"Darin verstecken sich keine Personendaten", beschwichtigt Microsoft-Pressesprecher Thomas Baumgärtner gegenüber heise online, "das dient nur der Ergonomie". Microsoft gibt an, mit den Cookies den Web-Verkehr auf den Hilfeseiten zu analysieren, was zur Optimierung der Online-Hilfe beitrage. Ein Körnchen Wahrheit muss dran sein: Tatsächlich kann man erkennen, dass Texte, die nur selten zum Abbrechen einer Hilfe-Recherche führen, zügig verbessert werden.

Doch andererseits ist nur allzu leicht vorstellbar, dass sich der anscheinend selbst generierte numerische Code, den etwa Word an Webtrends schickt, mit dem Lizenzschlüssel des aussendenden Office korrelieren lässt und damit auch weitere Schlüsse über den Anwender ermöglicht. Auch akribisches Nachlesen in der Microsoft Datenschutzerklärung für Office 2007 trägt kaum zur anschließenden Gemütsberuhigung bei – zu unkonkret sind die dortigen Angaben über Ausmaß und Nutzung eventuell personenbezogener Informationen durch Microsoft. Der Konzern ist gut beraten, den Sachverhalt möglichst schnell und rigoros aufzuklären.

Quelle : www.heise.de

[SiLæncer]

Microsofts Büropaket sucht beim routinemäßigen Internet-Zugriff etwa auf Hilfeseiten auch den Kontakt zu Marktforschern im Auftrag des Herstellers. Der hat uns jetzt erklärt, was im Detail passiert und welche Daten ihn interessieren. Die offizielle Aussage, die vom Marktforscher Webtrends im Auftrag von Microsoft verbreiteten Cookies enthielten keine personenbezogenen Daten, relativiert sich nach neuester Auskunft insofern, als die binären Cookie-Inhalte zumindest die IP-Adressen der Hilfesuchenden festhalten. "Wir wollen damit feststellen, aus welchem Land die Anfragen für die einzelnen Webseiten kommen", erklärte Microsoft-Sprecher Thomas Baumgärtner. "Wenn sich herausstellte, dass englische Anwender vorwiegend die deutschen Hilfeseiten benutzen, wäre das für uns eine sehr wichtige Erkenntnis".

Darüberhinaus enthalten die Web-Kekse laut Baumgärtner einen Eintrag für jede besuchte Webseite, die im Rahmen der Hilfe-Benutzung besucht wurde. Dort stehen außer einer Zufallszahl zur Identifizierung des Datensatzes und einem Kennzeichen der besuchten Webseite – ein Code für den Seiten-Anbieter und eine Seitennummer – auch noch Zeitstempel, die das Öffnen und Verlassen der Seite dokumentieren. Von Interesse ist vor allem die mittlere Verweildauer auf einzelnen Hilfeseiten, um die Verständlichkeit der Texte zu bewerten und Ansatzpunkte für Verbesserungen zu finden. Diese Informationen ließen sich zur Not auch aus den Log-Dateien der Hilfe-Server extrahieren; die Cookies von Microsofts Vertragspartner Webtrends möchten jedoch für zehn Jahre auf der Festplatte des Anwenders ihren Zweck erfüllen und erschließen auch den Weg zu weiter reichenden Auswertungen.

Anders als aus bisherigen Medienmeldungen abzuleiten war, bedient sich die Office-Suite wohl doch des normalen Mechanismus, bei dem etwa der Hilfe-Server mit Cookie-Wünschen an den lokalen Browser des Anwenders herantritt. Somit kann man dem Browser das Annehmen unerwünschter Cookies auch untersagen – auch wenn die Auswahl dieser Option anderweitige Besuche auf der Website Office Online, etwa zum Download von Add-ins, praktisch zum Scheitern verurteilt. Als Webbrowser agiert in diesem Fall übrigens immer der Internet Explorer, auch wenn ein anderes Programm als Standard-Webbrowser eingestellt ist.

Alternativ kann man Office so anpassen, dass die Online-Hilfe nicht wirklich online, sondern so wie gewohnt nur mit den lokal vorhandenen Hilfetexten souffliert. Zum Beispiel in Word 2007 klickt man hierfür auf den Office-Button und im Fensterrand des erscheinenden Dialogs auf Word-Optionen; der weitere Menü-Pfad zur passenden Konfiguration lautet Vertrauensstellungscenter/Einstellungen des Vertrauensstellungscenters/Datenschutzoptionen.

Man hätte sich freilich vorstellen können, dass die Freigabe zur Verkehrsüberwachung im Web mit der Teilnahme an Microsofts Programm zur Verbesserung der Produktqualität gekoppelt ist. Diese Option lässt sich ebenfalls im Vertrauensstellungscenter einstellen, ist aber im Normalfall deaktiviert, während die Online-verbesserte Online-Hilfe mitsamt den beschriebenen Cookie-Vergaben per Default aktiv ist.

Quelle : www.heise.de

[SiLæncer]

Schon am 16. Februar will der Sicherheitsdienstleister eEye Microsoft über eine kritische Sicherheitslücke in Publisher 2007, einer Komponente von Office 2007, informiert haben. Bislang gibt es aber weder aus Redmond noch von eEye genauere Details zu dem Problem. Fest steht nur, dass sich über die Lücke Code auf einen Windows-PC schleusen und mit den Rechten des angemeldeten Nutzers ausführen lässt. Wahrscheinlich muss das Opfer dazu ein präpariertes Dokument öffnen, das beispielsweise als Anhang einer Mail oder durch den Download von einer Webseite auf den Rechner gelangt. Insbesondere letzteres ist bei der Suche nach einer geeigneten Layout-Vorlage im Web für eigene Dokumente nicht unwahrscheinlich.

Ob die Lücke allerdings bereits aktiv ausgenutzt wird, ist unbekannt. Eine Mitte Februar entdeckte Lücke in Word unter Office 2000 XP, 2003 und 2007 wird derweil schon aktiv genutzt. Rund vier Wochen nach Veröffentlichung von Office 2007 gibt es somit bereits zwei ungepatchte Lücken. Für die Word-Lücke ist ein Patch zwar in Arbeit, noch steht er aber nicht zur Verfügung.

Darüber hinaus steht Office 2007 in der Kritik, Daten ungefragt an ein Marktforschungsinstitut zu verschicken. Microsoft beteuert jedoch, dass darin weder Personendaten stecken noch das System ausspioniert würde.

Siehe dazu auch:

    * Upcoming Advisories EEYEB-20070216, Fehlerbericht von eEye
    * Microsoft Office 2007 flüstert übers Netz, Meldung auf heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/85883

[SiLæncer]

Auf Sicherheits-Mailinglisten hat ein Hacker namens Mati Aharoni eine Reihe von Demos für angebliche Sicherheitsprobleme in Microsoft Word 2007 veröffentlicht, die er mit einem kleinen Python-Fuzzer gefunden haben will. McAfees Avert Labs bestätigen in einem Blog-Eintrag, dass man die Demos untersuche und zumindest eine davon einen Pufferüberlauf auf dem Heap auslöse, der sich ausnutzen lassen könnte, um Code einzuschleusen und auszuführen. In den letzten Monaten wurden immer wieder derartige Lücken in Office-Produkten ausgenutzt, um gezielt einzelne Firmen oder Instituitionen zu attackieren.

Die anderen Word-Demos führen laut McAfee nur zu einem Absturz oder hoher Systemlast. Darüber hinaus bestätigen die Experten der Avert Labs aber eine ebenfalls von Aharoni demonstrierte, möglicherweise kritische Windows-Lücke im Umgang mit Hilfe-Dateien, die ebenfalls zu einem Pufferüberlauf auf dem Heap führe.

Ob es sich bei den Fehlern tatsächlich um neue Lücken handelt, oder ob die Demos beispielsweise die bereits von eEye gemeldeten Word-Schwachstellen ausnutzen, ist derzeit noch nicht klar.

Siehe dazu auch:

    * Some 0day Pocs von Mati Aharoni
    * New MS Office Zero-Days Blog-Eintrag der Avert Labs

Quelle und Links : http://www.heise.de/security/news/meldung/88084

[SiLæncer]

Um die zahlreichen Sicherheitslücken zu schließen, will Microsoft zahlreiche Funktionen aus dem aktuellen Office 2007 in die frühere Version der Bürosoftware einbauen. Das dritte Service Pack (SP3), dessen Freigabetermin derzeit noch unbekannt ist, soll sich vor allem dem Thema Sicherheit widmen, kündigte Microsoft-Produktmanager Joshua Edwards gegenüber dem US-Branchendienst CNet an.

Man wolle so viele Funktionen wie möglich aus dem aktuellen Office 2007 in die frühere Version übernehmen und als kostenlosen Download bereitstellen. Diese verbergen sich laut Edwards allerdings unter der Oberfläche – Ribbons wird es demnach auch nach installiertem SP3 nicht in den Office-2003-Anwendungen geben. Handlungsbedarf in Sachen Sicherheit gibt es für Office 2003 schon seit geraumer Zeit und wird immer dringender, zumal seit langem bekannte Sicherheitslecks bis heute offen geblieben sind und unter Industriespionen immer beliebter werden.

Quelle : www.heise.de

[SiLæncer]

Die Initiatoren des Month of ActiveX Bugs (MoAxB) haben eine Sicherheitslücke in einem ActiveX-Modul von Microsoft Office 2000 gemeldet. Das Modul OUACTRL.OCX wird bei der Installation als "Safe for Scripting" markiert und kann daher im Internet Explorer eingebunden werden.

Der Funktion HelpPopup der betroffenen ActiveX-Komponente läuft ein Puffer über, wenn man ihr einen zu langen Wert übergibt. Der dabei eingeschleuste Code läuft mit den Rechten des Anwenders. Betroffen ist die Version 1.0.1.9 des Moduls. Die CLSID dafür lautet 8936033C-4A50-11D1-98A4-00A0C90F27C6. Betroffene Anwender sollten dafür das Killbit setzen; Microsoft hält einen Knowledgebase-Artikel mit einer Anleitung zum Setzen von Killbits bereit.

Siehe dazu auch:

    * Microsoft Office 2000 (OUACTRL.OCX v. 1.0.1.9) "HelpPopup" method Remote Buffer Overflow and winhlp32.exe Denial of Service, Fehlermeldung beim MoAxB -> http://moaxb.blogspot.com/2007/05/moaxb-23-microsoft-office-2000.html

Quelle : www.heise.de

[SiLæncer]

Ein mit Microsoft Office 2003 mitgeliefertes ActiveX-Control (Office Data Source Control 11, OWC11.DLL) enthält einen Fehler in der Funktion DeleteRecordSourceIfUnused, mit dem sich über präparierte HTML-Dokumente ein Buffer Overflow provozieren lässt. Ein veröffentlicher Exploit demonstriert, wie der Internet Explorer 6 beim Öffnen eines solchen Dokumentes abstürzt. Ob sich über die Lücke auch Code einschleusen und mit den Rechten des Anwenders ausführen lässt, werden weitere Tests zeigen müssen. Sofern sich dies bestätigt, würde der Besuch einer manipulierten Webseite genügen, um sich mit einem Schädling zu infizieren.

Ein Patch steht nicht zur Verfügung. Abhilfe bringt es, ein so genanntes Kill-Bit in der Registry zu setzen, damit das verwundbare Control (CLSID 0002E55B-0000-0000-C000-000000000046) nicht mehr geladen wird. Da sich die in ActiveX-Controls gefundenen Sicherheitslücken derzeit epidemisch häufen, ist es allerdings sinnvoller, ActiveX im Browser zumindest für die Internet-Zone zu deaktivieren.

Siehe dazu auch:

    * MSODataSourceControl.DeleteRecordSourceIfUnused COM-object B0F POC, Exploit auf Milw0rm -> http://www.milw0rm.com/exploits/4067

Quelle : www.heise.de

[SiLæncer]

Microsoft warnt vor möglichem Schadcode in Office 2010 Downloads. Neben mehreren Filesharing-Börsen sei vorwiegend BitTorrent betroffen.

Diese Warnmeldung richten die Entwickler aus Redmond besonders an neugierige Nutzer. Das Interesse und die Nachfrage nach der Vorabversion ist aktuell sehr groß, teilt Microsoft mit. Wer die Produkte aus Tauschbörsen bezieht, läuft allerdings Gefahr, sich mit einem Trojaner zu infizieren.

Erst kürzlich ist eine Version von Office 2010 an die Öffentlichkeit gelangt. Unter Umständen könnte diese Ausgabe mit Schadcode infiziert sein, so Microsoft. Diesbezüglich sei es ratsam, auf das Release im Juni dieses Jahres zu warten. Selbiges sollte sodann aus vertrauenswürdigen Quellen, beispielsweise über Microsoft selbst, bezogen werden. Nur dann kann garantiert werden, dass die Software frei von Schadcode ist.

Bei einer Untersuchung diverser Torrent-Files ist man fündig geworden. Für die Autoren von Malware scheint diese Art und Weise der Malwareverbreitung aktuell sehr vielversprechend zu sein. Ein vergleichbares Szenario hat sich erst kürzlich bei einem getürkten Windows 7 RC zugetragen.

Quelle : www.gulli.com

[SiLæncer]

Aufgrund eines Implementierungsfehlers lässt sich die Verschlüsselung aushebeln, mit der Office Dokumente verschlüsselt. Zwar ist diese Erkenntnis nicht neu – und seit 2005 grundsätzlich öffentlich bekannt –, bislang gab es aber (offiziell) keinen praktischen Angriff respektive ein Tool, mit dem sich die Schwachstelle wirklich ausnutzen ließ. Vermutlich hat Microsoft deshalb das Problem auch nie mit einem Update für ältere Office-Versionen gelöst.

Die Lage hat sich nun geändert, wie der französische Krypto-Experte Eric Filiol in seinem Vortrag auf der Sicherheitskonferenz Black Hat betonte: Sein Tool könne innerhalb weniger Minuten ein Dokument entschlüsseln. Filiol beschäftigt sich nach eigenen Angaben sogar schon seit 1994 mit der statistischen Analyse des RC4-Algorithmus in Office. Dass er seine Ergebnisse erst jetzt veröffentlicht, erklärt Filiol gegenüber heise Security so: "Ich war damals noch beim französischen Militär angestellt. Alles, was ich damals machte, war geheim. Heute kann ich gefahrlos darüber sprechen."

Der Krypto-Experte machte sich bei seinen Analysen von RC4-codierten Daten den Umstand zunutze, dass viele Implementierungen des Algorithmus fehlerhaft sind. Damit RC4 zuverlässig kodiert, dürfen Schlüssel keinesfalls mehr als einmal verwendet werden. So ist die bei Wireless LANs einstmals übliche WEP (Wired Equivalent Privacy)-Verschlüsselung vor allem deshalb so gründlich geknackt worden, weil die Menge der zur Schlüsselvariation notwendigen Initialisierungsvektoren (IV) zu gering war: Es tauchten mehrfach Pakete auf, die mit der gleichen Kombination aus IV und ohnehin statischem Passwort kodiert worden waren.

Einen ähnlichen Implementierungsfehler hat Filiol (und Hongjun Wu schon 2005) bei allen Microsoft-Office-Paketen bis einschließlich Version 2003 ausgemacht. Office-Versionen ab 2007 sollen laut Filiol nicht mehr betroffen sein, da Microsoft hier auf den AES-Algorithmus setzt. Relevant ist das Problem trotzdem, da die Vorgängervarianten von Office 2007 vermutlich nach wie vor den größten Marktanteil haben.

Microsofts Fehler beim Einsatz von RC4 ist folgender: Die Schlüssel werden nicht automatisch gewechselt, wenn eine neue Version eines Word-Dokuments oder einer Excel-Tabelle erzeugt wird. Durch den Vergleich zweier solcher zwangsweise mit dem gleichen Schlüssel kodierter Versionen einer Datei kann Filiols Software – die der französische Krypto-Experte jedoch nicht veröffentlichen will – binnen weniger Minuten den Klartext ermitteln.

Laut Filiol muss lediglich eine von den Office-Anwendungen beim Öffnen eines Dokuments automatisch angelegte und ebenfalls verschlüsselte Sicherheitskopie mit dem Originaldokument verglichen werden. Wichtig sei nur, dass sich die Dateien minimal unterscheiden. Bereits ein beim Öffnen der Datei automatisch aktualisiertes Datum genügt, um die zu vergleichenden Dateien genügend variieren zu lassen. Wie der Krypto-Experte ausführt, waren während seiner Tests stets per Datenrettungstool wiederhergestellte *.tmp-Dateien ausreichend, um zum Erfolg zu kommen.

Ob Microsoft, das offenbar vor Filiols Vortrag nicht mit den neuen Ergebnissen konfrontiert wurde, das Problem per Software-Update behebt, ist nicht bekannt. Aus Firmenkreisen war jedoch inoffiziell zu erfahren, dass das Problem nicht schwerwiegend genug sei – zumal Nutzer von Microsoft Office ihre Dateien mit frei verfügbaren Programmen verschlüsseln können.

Quelle : www.heise.de