Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 921365

Sicherheitsanfälligkeit in Excel kann Remotecodeausführung ermöglichen

Veröffentlicht: Montag, 19. Juni 2006 | Aktualisiert: Mittwoch, 21. Juni 2006

Microsoft untersucht derzeit neue öffentliche Meldungen über begrenzte „Zero Day“-Angriffe, bei denen eine Sicherheitsanfälligkeit in Microsoft Excel 2003, Excel Viewer 2003, Excel 2002, Excel 2000, Microsoft Excel 2004 für Mac und Microsoft Excel X für Mac ausgenutzt wird. Damit dieser Angriff durchgeführt werden kann, muss ein Benutzer zunächst eine schädliche, an eine E-Mail angehängte oder anderweitig gesendete Excel-Datei öffnen.

Wir empfehlen allen Benutzern, bei Anhängen in unerwünschten E-Mails von unbekannten oder auch bekannten Absendern stets mit größter Vorsicht vorzugehen. Microsoft hat dem Windows Live Safety Center heute eine Funktion hinzugefügt, mit der schädliche Software, die diese Sicherheitsanfälligkeit ausnutzt, erkannt und entfernt werden kann.

Außerdem stellt Microsoft seinen Partnern innerhalb der Microsoft Security Response Alliance Informationen zur Verfügung, damit sie ihre Methoden für die Erkennung und Abwehr von Angriffen immer auf dem neuesten Stand halten können.

Technischer Support ist über die Microsoft Support Services erhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos.

Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Supportanfragen zu Sicherheitsupdates sind kostenlos. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der International Support-Website.

Nach Abschluss der Untersuchungen wird Microsoft angemessene Maßnahmen zum Schutz seiner Kunden ergreifen. Je nach Kundenanforderungen zählen dazu möglicherweise ein Sicherheitsupdate im Rahmen unserer monatlichen Veröffentlichungen oder ein außerordentliches Sicherheitsupdate.

Allgemeine Informationen

Zweck dieser Sicherheitsempfehlung: Durch diese Sicherheitsmitteilung sollen Kunden zunächst über die öffentlich gemeldete Sicherheitsanfälligkeit in Kenntnis gesetzt werden. Weitere Informationen finden Sie in dieser Sicherheitsempfehlung im Abschnitt „Empfohlene Maßnahmen“ sowie in den Abschnitten mit Problemumgehungen und schadensbegrenzenden Maßnahmen.

Status der Empfehlung: Sicherheitsanfälligkeit bestätigt; Sicherheitsupdate ist geplant.

Empfehlung: Öffnen und speichern Sie keine Microsoft Excel-Dateien, die Sie von nicht vertrauenswürdigen Quellen oder unerwartet von vertrauenswürdigen Quellen erhalten. Diese Sicherheitsanfälligkeit kann ausgenutzt werden, wenn ein Benutzer eine Datei öffnet.

ReferenzenIdentifizierung
CVE-Referenz CVE-2006-3059

Diese Empfehlung betrifft die folgende Software.

Betroffene Software
Microsoft Excel 2003
Microsoft Excel Viewer 2003
Microsoft Excel 2002
Microsoft Excel 2000
Microsoft Excel 2004 für Mac
Microsoft Excel X für Mac

Was genau umfasst diese Empfehlung?
Microsoft wurde eine neue Sicherheitsanfälligkeit gemeldet, die Microsoft Excel, eine Komponente von Microsoft Office, betrifft. Die Sicherheitsanfälligkeit betrifft die im Abschnitt „Übersicht“ aufgelistete Software.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Microsoft ist im Begriff, die Entwicklung eines Sicherheitsupdates für Microsoft Excel abzuschließen, durch das diese Sicherheitsanfälligkeit behoben wird.

Was ist die Ursache dieser Sicherheitsanfälligkeit?
In Microsoft Excel tritt eine fehlerhafte Speicherprüfung auf.

Wie gehen Angreifer vor, um diese Sicherheitsanfälligkeit auszunutzen?
Für ein webbasiertes Angriffsszenario muss ein Angreifer eine Website mit einer Excel-Datei einrichten, durch die diese Sicherheitsanfälligkeit ausgenutzt wird. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss den Benutzer zu einem Besuch dieser Website verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers zu klicken.

Bei einem E-Mail-Angriff könnte ein Angreifer diese Sicherheitsanfälligkeit ausnutzen, indem er eine speziell gestaltete Datei an den Benutzer sendet und ihn dazu verleitet, die Datei zu öffnen.

Für welche Versionen von Microsoft Office Excel gilt diese Empfehlung?
Diese Empfehlung bezieht sich auf Microsoft Excel 2003, Excel Viewer 2003, Excel 2002, Excel 2000, Microsoft Excel 2004 für Mac und Microsoft Excel X für Mac.

  • Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Benutzer, deren Konten mit geringeren Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerberechtigungen arbeiten.
  • Im Fall von Excel 2002 und Excel 2003 kann die Sicherheitsanfälligkeit nicht automatisch über eine E-Mail ausgenutzt werden. Für einen erfolgreichen Angriff muss ein Benutzer eine Aufforderung zum Öffnen, Speichern oder Abbrechen eines Anhangs in einer E-Mail akzeptieren.
  • Diese Sicherheitsanfälligkeit kann nicht automatisch über ein webbasiertes Angriffsszenario ausgenutzt werden. Ein Angreifer muss eine Website mit einer Office-Datei einrichten, mit der diese Sicherheitsanfälligkeit ausgenutzt wird. Ein Angreifer kann Benutzer zum Besuch einer Website nicht zwingen. Er muss den Benutzer zu einem Besuch dieser Webseite verleiten. Zu diesem Zweck wird der Benutzer normalerweise dazu gebracht, auf einen Link zur Site des Angreifers zu klicken.

Hinweis: In Excel 2000 erhält der Benutzer vor dem Öffnen eines Dokuments keine Aufforderung zum Öffnen, Speichern oder Abbrechen.

Microsoft hat die folgenden Problemumgehungen getestet. Diese Problemumgehungen beheben nicht die zugrunde liegende Sicherheitsanfälligkeit, sondern blockieren nur die bekannten Angriffsmethoden. Wenn die Funktionalität durch eine Problemumgehung verringert wird, so wird diese Einschränkung im folgenden Abschnitt genannt.

Deaktivieren Sie im Fall von Excel 2003 den Reparaturmodus, indem Sie die Zugriffssteuerungsliste (ACL) unter dem Excel-Registrierungsschlüssel „Resiliency“ ändern.

Diese Sicherheitsanfälligkeit wird ausgenutzt, wenn Excel den Reparaturmodus verwendet. Durch Deaktivierung des Reparaturmodus kann die Ausnutzung der Sicherheitsanfälligkeit in Excel 2003 verhindert werden. Um zu verhindern, das Excel den Reparaturmodus verwendet, ändern Sie mithilfe des Registrierungs-Editors oder über Gruppenrichtlinien die Einstellungen für Zugriffssteuerungslisten (ACL), sodass keine Benutzerkonten mehr auf die Registrierungsschlüssel zugreifen können. Gehen Sie wie folgt vor, um diesen Vorgang manuell durchzuführen:

Hinweis: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft kann nicht gewährleisten, dass Probleme, die sich aus der fehlerhaften Verwendung des Registrierungs-Editors ergeben, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Weitere Informationen zum Bearbeiten der Registrierung finden Sie im Registrierungs-Editor (Regedit.exe) im Hilfethema zum Ändern von Schlüsseln und Werten sowie in Regedt32.exe in den Hilfethemen zum Hinzufügen und Löschen von Informationen in der Registrierung und zum Bearbeiten der Registrierungsdaten.

Hinweis: Sie sollten eine Sicherungskopie der Registrierung erstellen, bevor Sie diese bearbeiten.

Für Windows 2000

Hinweis: Notieren Sie sich die in diesem Dialogfeld aufgelisteten Berechtigungen, damit Sie die ursprünglichen Werte zu einem späteren Zeitpunkt wiederherstellen können.

  1. Klicken Sie auf Start und auf Ausführen, und geben Sie regedt32 ein. Klicken Sie danach auf OK.
  2. Erweitern Sie HKEY_CURRENT_USER, Software, Microsoft, Office, 11.0, Excel, und klicken Sie auf Resiliency. Wenn der Schlüssel nicht vorhanden ist, erstellen Sie ihn.
  3. Markieren Sie diesen Schlüssel, und klicken sie anschließend auf Sicherheit und auf Berechtigungen.
  4. Deaktivieren Sie das Kontrollkästchen Vererbbare übergeordnete Berechtigungen übernehmen. Sie werden aufgefordert, auf Kopieren, Entfernen oder Abbrechen zu klicken. Klicken Sie auf Entfernen und dann auf OK.
  5. Sie erhalten eine Meldung, die besagt, dass niemand auf diesen Registrierungsschlüssel zugreifen kann. Klicken Sie auf Ja, wenn Sie dazu aufgefordert werden.

Für Windows XP Service Pack 1 oder höher

Hinweis: Notieren Sie sich die in diesem Dialogfeld aufgelisteten Berechtigungen, damit Sie die ursprünglichen Werte zu einem späteren Zeitpunkt wiederherstellen können.

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie „regedit“ ein (ohne die Anführungszeichen), und klicken Sie dann auf OK.
  2. Erweitern Sie HKEY_CURRENT_USER, Software, Microsoft, Office, 11.0, Excel, und klicken Sie auf Resiliency. Wenn der Schlüssel nicht vorhanden ist, erstellen Sie ihn.
  3. Klicken Sie auf Bearbeiten und dann auf Berechtigungen.
  4. Klicken Sie auf Erweitert.
  5. Deaktivieren Sie das Kontrollkästchen Berechtigungen übergeordneter Objekte auf untergeordnete Objekte, sofern anwendbar, vererben. Diese mit den hier definierten Einträgen mit einbeziehen. Sie werden aufgefordert, auf Kopieren, Entfernen oder Abbrechen zu klicken. Klicken Sie auf Entfernen und dann auf OK.
  6. Sie erhalten eine Meldung, die besagt, dass niemand auf diesen Registrierungsschlüssel zugreifen kann. Klicken Sie auf Ja und anschließend auf OK, um das Dialogfeld Berechtigungen dieses Registrierungsschlüssels zu schließen.

Auswirkung der Problemumgehung: Der Dokumentenwiederherstellungsmodus von Excel hilft beim Öffnen beschädigter Excel-Dokumente. Nach dem Anwenden dieser Problemumgehung versucht Excel nicht mehr, beschädigte Excel-Dokumente wiederherzustellen, und funktioniert möglicherweise nicht mehr einwandfrei, wenn Sie versuchen, fehlerhafte Excel-Dokumente zu öffnen. Wenn Excel nach dem Öffnen eines fehlerhaften Dokuments instabil wird, schließen Sie alle Prozesses mithilfe des Task-Managers, und starten Sie Excel neu.

Um zu verhindern, das Excel-Dokumente in ein Unternehmensnetzwerk gelangen, blockieren Sie alle Excel-Dateitypen am E-Mail-Gateway.

Hinweis: Diese Vorgehensweise bietet keinen Schutz vor anderen Angriffsmethoden, einschließlich webbasierten Angriffen.

Bei den folgenden Dateitypen handelt es sich um Excel-Dateitypen, über die diese Sicherheitsanfälligkeit ausgenutzt werden kann und die daher an den Zugangspunkten zum Netzwerk blockiert werden müssen:

xls, xlt, xla, xlm, xlc, xlw, uxdc, csv, iqy, dqy, rqy, oqy, xll, xlb, slk, dif, xlk, xld, xlshtml, xlthtml, xlv

Blockieren Sie die Möglichkeit, dass Excel-Dokumente über Outlook als E-Mail-Anhänge sowie von Websites oder über das Dateisystem geöffnet werden, indem Sie die Registrierungseinträge entfernen, durch die Excel-Dokumente mit der Anwendung „Excel“ verknüpft werden.

Excel-Dokumente können automatisch in Excel geöffnet werden, indem Sie sie als E-Mail-Anhänge öffnen, indem Sie Websites besuchen, die automatisch Excel-Dokumente laden, oder indem Sie im Dateisystem oder in Dateifreigaben auf ein entsprechendes Dokument doppelklicken. Durch Entfernen der folgenden Registrierungseinträge werden diese Angriffsmethoden blockiert, da verhindert wird, das Excel-Dokumente direkt in Excel geladen werden. Führen Sie zum Entfernen dieser Schlüssel die folgenden Schritte aus:

Hinweis: Obwohl diese Sicherheitsanfälligkeit in Excel Viewer 2003, Excel 2002 und Excel 2000 vorhanden ist, wurden diese Anwendungen bislang nicht beeinträchtigt.

Hinweis: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft kann nicht gewährleisten, dass Probleme, die sich aus der fehlerhaften Verwendung des Registrierungs-Editors ergeben, behoben werden können. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko. Weitere Informationen zum Bearbeiten der Registrierung finden Sie im Registrierungs-Editor (Regedit.exe) im Hilfethema zum Ändern von Schlüsseln und Werten sowie in Regedt32.exe in den Hilfethemen zum Hinzufügen und Löschen von Informationen in der Registrierung und zum Bearbeiten der Registrierungsdaten.

  1. For Windows 2000
    Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie „regedt32“ ein (ohne die Anführungszeichen), und klicken Sie dann auf OK. Geben Sie unter Windows 2000 „regedt32“ ein.

    For Windows XP Service Pack 1 oder höher
    Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie „regedit“ ein (ohne die Anführungszeichen), und klicken Sie dann auf OK. Geben Sie unter Windows 2000 „regedt32“ ein.

  2. Markieren Sie jeden der Schlüssel in der unten stehenden Liste.
  3. Klicken Sie mit der rechten Maustaste auf den jeweiligen Schlüssel, und klicken Sie anschließend auf Löschen und dann auf Ja, um das Löschen zu bestätigen.

    Hinweis: Je nach Art der Installation sind einige der folgenden Schlüssel möglicherweise nicht vorhanden.

    Hinweis: Wir empfehlen, von jedem der Registrierungsschlüssel eine Sicherung zu erstellen, um gelöschte Schlüssel bei Bedarf wiederherstellen zu können.

    HKEY_CLASSES_ROOT\Excel.Addin\shell
    HKEY_CLASSES_ROOT\Excel.Backup\shell
    HKEY_CLASSES_ROOT\Excel.Chart\shell
    HKEY_CLASSES_ROOT\Excel.Chart.8\shell
    HKEY_CLASSES_ROOT\Excel.CSV\shell
    HKEY_CLASSES_ROOT\Excel.DIF\shell
    HKEY_CLASSES_ROOT\Excel.Macrosheet\shell
    HKEY_CLASSES_ROOT\Excel.Sheet.8\shell
    HKEY_CLASSES_ROOT\Excel.SLK\shell
    HKEY_CLASSES_ROOT\Excel.Template\shell
    HKEY_CLASSES_ROOT\Excel.Workspace\shell
    HKEY_CLASSES_ROOT\Excel.XLL\shell
    HKEY_CLASSES_ROOT\Excelhtmlfile\shell
    HKEY_CLASSES_ROOT\Excelhtmltemplate\shell
    HKEY_CLASSES_ROOT\.xls
    HKEY_CLASSES_ROOT\.xlt
    HKEY_CLASSES_ROOT\.xla
    HKEY_CLASSES_ROOT\.xlm
    HKEY_CLASSES_ROOT\.xlc
    HKEY_CLASSES_ROOT\.xlw
    HKEY_CLASSES_ROOT\.uxdc
    HKEY_CLASSES_ROOT\.csv
    HKEY_CLASSES_ROOT\.iqy
    HKEY_CLASSES_ROOT\.dqy
    HKEY_CLASSES_ROOT\.rqy
    HKEY_CLASSES_ROOT\.oqy
    HKEY_CLASSES_ROOT\.xll
    HKEY_CLASSES_ROOT\.xlb
    HKEY_CLASSES_ROOT\.slk
    HKEY_CLASSES_ROOT\.dif
    HKEY_CLASSES_ROOT\.xlk
    HKEY_CLASSES_ROOT\.xld
    HKEY_CLASSES_ROOT\.xlshtml
    HKEY_CLASSES_ROOT\.xlthtml
    HKEY_CLASSES_ROOT\.xlv
    HKEY_CLASSES_ROOT\ExcelViewer.Chart.8\shell
    HKEY_CLASSES_ROOT\ExcelViewer.Macrosheet\shell
    HKEY_CLASSES_ROOT\ExcelViewer.Sheet.8\shell
    HKEY_CLASSES_ROOT\ExcelViewer.Template\shell
    HKEY_CLASSES_ROOT\ExcelViewer.Workspace\shell

    Auswirkung der Problemumgehung: Excel-Dokumente können nicht mehr außerhalb von Excel geöffnet werden. Zum Anzeigen eines Excel-Dokuments müssen Sie Excel öffnen und auf das Dokument über die Option Öffnen im Menü Datei zugreifen.

Öffnen und speichern Sie keine Microsoft Excel-Dateien, die Sie von nicht vertrauenswürdigen Quellen erhalten.

Diese Sicherheitsanfälligkeit kann ausgenutzt werden, wenn ein Benutzer eine speziell gestaltete Excel-Datei öffnet. Vertrauenswürdige Excel-Dateien und Excel-Dateien von vertrauenswürdigen Quellen können weiterhin verwendet werden.

  • Schützen Sie Ihren PC

    Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und eine Antivirensoftware zu installieren. Mehr zu diese drei Vorsichtsmaßnahmen erfahren Sie auf der Website Schützen Sie Ihren PC.

  • Weitere Informationen zur Sicherheit im Internet finden Sie auf dem Microsoft Sicherheits-Portal.
  • Kunden in den USA, die befürchten, angegriffen worden zu sein, können sich an das örtliche FBI-Büro wenden oder ihre Beschwerde auf der Website Internet Fraud Complaint Center melden. Kunden außerhalb der USA können sich an die nationale Strafverfolgungsbehörde ihres Landes wenden.

    Alle Kunden sollten die von Microsoft veröffentlichten aktuellen Sicherheitsupdates installieren, um sicherzustellen, dass ihre Systeme vor Angriffen geschützt sind. Kunden, die die automatischen Updates aktiviert haben, erhalten automatisch alle Windows-Updates. Weitere Informationen zu Sicherheitsupdates erhalten Sie auf dem Microsoft Sicherheits-Portal.
  • Wir empfehlen Benutzern, mit Dateiübertragungen von bekannten und unbekannten Quellen äußerst vorsichtig umzugehen. Weitere Informationen zum Schutz des Computers bei der Verwendung von MSN Messenger finden Sie auf der MSN Messenger-Website Frequently Asked Questions.

    Aktualisieren Sie Windows regelmäßig.

  • Alle Windows-Benutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, rufen Sie die Windows Update-Website auf, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie die automatischen Updates aktiviert haben, werden Ihnen die Updates bei ihrer Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.

Weitere Informationen:

Ressourcen:

  • Sie können uns über das Formular auf folgender Website Ihr Feedback zukommen lassen.
  • Technischer Support ist in den USA und Kanada über die Microsoft Support Services erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
  • Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf internationale Supportfragen kontaktieren können, finden Sie auf der International Support-Website.
  • Die Website TechNet Sicherheit bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.

Haftungsausschluss:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen:

  • V1.0 (19. Juni 2006): Die Empfehlung wurde veröffentlicht.
  • V1.1 (21. Juni 2006): "Status der Empfehlung" aktualisiert; im Abschnitt "Problemumgehungen für die Sicherheitsanfälligkeit in Microsoft Excel durch Remotecodeausführung" unter "Deaktivieren Sie im Fall von Excel 2003 den Reparaturmodus, indem Sie die Zugriffssteuerungsliste (ACL) unter dem Excel-Registrierungsschlüssel „Resiliency“ ändern" erläuternde Informationen eingefügt.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft