Suchen

IT-Sicherheit Warnung: Professor identifiziert Outlook-Sicherheitslücke

| Autor / Redakteur: Robert Weber / Stephan Augsten

Das Unternehmen Softscheck hat in Microsoft Outlook 2007–2013 eine Denial of Service Sicherheitslücke identifiziert: Ein Angreifer kann mittels einer Text-Mail mit speziellem Inhalt den Outlook-Client des Anwenders beim Öffnen der E-Mail zum Einfrieren bringen, warnt Prof. Dr. Hartmut Pohl, Geschäftsführender Gesellschafter.

Firma zum Thema

Über Textmails können Hacker eine Sicherheitslücke in Outlook ausnutzen.
Über Textmails können Hacker eine Sicherheitslücke in Outlook ausnutzen.
(Bild: Klicker/pixelio.de)

Daraufhin ist der Anwender gezwungen, Outlook zu terminieren. In der Standardkonfiguration von Outlook, in der Inhalte von E-Mails in einem Lesebereich angezeigt werden, stürzt dieses beim Starten erneut ab, da die E-Mail automatisch zum Anzeigen geöffnet wird. In diesem Fall muss Outlook im abgesicherten Modus gestartet und die betreffende E-Mail gelöscht werden. Selbst mit der Einstellung „Standardnachrichten im Nur-Text-Format lesen“ friert Outlook ein.

Die Sicherheitslücke betrifft den XML-Parser von Microsoft Office und damit auch andere Microsoft Office Produkte. Seit Microsoft Office 2007 verwenden alle Office-Produkte auf XML basierende Dateiformate und sind damit in allen Versionen (inklusive Office für Mac) und Patch-Level für diese Lücke anfällig.

Der XML-Parser kann mit einer XML-Bombe zum Abarbeiten einer exponentiell wachsenden Aufgabe gezwungen werden, was den Arbeitsspeicher zunehmend füllt und die Anwendung zum Einfrieren bringt. Das Problem ist seit mindestens 2003 bekannt und wurde von Microsoft selbst in 2009 in dem Artikel „XML Denial of Service Attacks and Defenses“ thematisiert.

Der Autor verzichtet bewusst darauf, den Textmail-Inhalt zu veröffentlichen. Darin werden mittels einer XML-Dokumenttypdefinition (DTD) mehrere Entitäten definiert, die jeweils rekursiv auf die Vorhergehenden verweisen. Ein XML-Parser ist darauf angewiesen, alle Verweise zu expandieren, was eine exponentiell wachsende Aufgabe ist während der Outlook einfriert.

Zwar kehrt Outlook nach der Verarbeitung zu einem lauffähigen Status zurück, doch dies dauert Tage und kann durch Erweitern der XML-Bombe um wenige Zeichen auf Monate hochgeschraubt werden.

Andere Eingabeschnittstellen in Office-Produkten sind ebenfalls betroffen, beispielsweise das Einfügen einer XML-Bombe durch die Zwischenablage in Microsoft Word.

Microsoft stuft Lücke nicht als sicherheitsrelevant ein

Die Angriffsart ist öffentlich dokumentiert und von unbedarften Angreifern leicht ausnutzbar. Eine aktive Ausnutzung ist derzeit nicht bekannt. Softscheck hat die Denial of Service Lücke der Microsoft Corporation gemeldet. Microsoft hat die Lücke bestätigt, sieht sie aber nicht als sicherheitsrelevant an und will sie in einem zukünftigen Office-Update beheben.

Trotzdem können sich Anwender schützen, in dem sie in ihrem Spam-Filter E-Mails mit Entitäten in XML-DTDs („<!ENTITY“) herausfiltern. Auch eine in Outlook definierte E-Mail-Regel, die Nachrichten mit diesem Stichwort im Textinhalt löscht, ist eine wirkungsvolle Schutzmaßnahme.

(ID:42624468)