Microsoft Office: Krypto-Schlamperei macht Dokumente unsicher

Microsofts Office-Anwendungen scheitern daran, Dokumente gegen Manipulationen abzusichern. Die Schuld daran tragen in erster Linie die Entwickler, die für Microsofts Office Open XML (OOXML)-Format verantwortlich sind.
Design, Office, Benutzeroberfläche, Interface, Ui, Office 365, microsoft 365, Microsoft Office, Oberfläche, User Interface, Fluent Design, Fluent Design System, microsoft office 365, Office Suite, Microsoft Fluent Design System, Fluent UI, Microsoft Fluent Design, Office Logo, Office Fluent Design, Microsoft Office Logo, Office Cloud
OOXML ist der Standard, nach dessen Spezifikationen alle Office-Dokumente, insbesondere auch die besonders betroffenen Word-Dateien gespeichert werden. Sicherheitsforscher der Ruhr-Universität Bochum und der Hochschule Mainz haben sich hier einmal genauer angeschaut, wie gut die Möglichkeit, solche Dokumente mit digitalen Signaturen zu schützen, umgesetzt ist. Ihr Urteil fiel nicht gerade schmeichelhaft aus.

"Das Ziel einer digitalen Signatur ist es, die Integrität eines Dokuments zu bestätigen", erklärte Simon Rohlmann von der Hochschule Mainz. Dazu wird vom Ersteller des Dokuments auf der Basis von Public-Key-Algorithmen mit einem privaten Schlüssel eine Signatur erzeugt, die von einem Leser mithilfe eines öffentlichen Schlüssels geprüft werden kann. Sollte irgendwer eine Manipulation an dem Dokument vorgenommen haben, stimmt die kryptografische Prüfsumme nicht mehr überein und man weiß, dass der enthaltenen Information nicht mehr vertraut werden kann.


Perfekt fürs Social Engineering

Doch die Wissenschaftler haben eine Schwachstelle entdeckt, mit der sich Dokumente in OOXML einfach manipulieren lassen: "Wir haben erkannt, dass Dokumente nur teilweise signiert sind. Dadurch könnte man etwa neue Inhalte hinzufügen oder signierte Inhalte ausblenden, ohne dass es jemand bemerkt", so Rohlmann. Weil nicht die gesamte Datei von der Signatur abgedeckt wird, ist der Schutz im Grunde völlig wertlos.

Das Gefahrenpotenzial ist dabei größer, als man auf den ersten Blick annehmen würde. Ein Angreifer könnte beispielsweise signierte Dokumente für das Social Engineering verwenden. So ließen sich unter anderem Dienstanweisungen an Beschäftigte übermitteln, die eine gültige Signatur eines Vorgesetzten enthalten - wie beispielsweise den Auftrag, größere Summen vom Firmenkonto irgendwohin zu überweisen oder bestimmte Waren der Firmen-Interna herauszugeben.

Als die Wissenschaftler die Sicherheitslücken 2022 erstmals entdeckt haben, informierten sie umgehend Microsoft und die zuständige Standardisierungsbehörde darüber. Das Unternehmen hat das Problem allerdings trotz mehrmaliger Kontaktaufnahme seitens der Forscher nicht umgehend beseitigt. Seit dem vergangenen Monat sind immerhin vier der fünf Angriffspunkte in der Retail-Version von Microsoft Office 2021 beseitigt. In der neuesten LTSC-Version (mit Stand 16. Juni 2023) wurde hingegen noch kein Patch eingeschoben, erklärte Rohlmann.

Zusammenfassung
  • Microsofts Office-Anwendungen schützen Dokumente schlecht vor Manipulationen.
  • OOXML ist der Standard für Office-Dokumente.
  • Sicherheitsforscher entdecken Schwachstelle bei digitalen Signaturen.
  • Angreifer können signierte Dokumente für Social Engineering missbrauchen.
  • Microsoft informiert, beseitigt aber nicht alle Schwachstellen.
  • Vier der fünf Angriffspunkte in Retail-Version 2021 beseitigt.
  • Neueste LTSC-Version (16. Juni 2023) noch nicht gepatcht.
Siehe auch:
Thema:
Sicherheitslücken
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Neueste Downloads
Mehr Downloads
Beliebt im Preisvergleich
Internet Security Preisvergleich
Neue Nachrichten
Themenübersicht
Beliebte Nachrichten
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!