Jump to navigation

Logo RUB
  • Studium
  • Forschung
  • Transfer
  • News
  • Über uns
  • Einrichtungen
 
MENÜ
  • RUB-STARTSEITE
  • News
  • Wissenschaft
  • Studium
  • Transfer
  • Leute
  • Hochschulpolitik
  • Kultur und Freizeit
  • Vermischtes
  • Servicemeldungen
  • Serien
  • Dossiers
  • Bildergalerien
  • Presseinformationen
    • Abonnieren
  • RUB in den Medien
  • Rubens
  • Rubin
    • Abonnieren
    • Printarchiv
  • Archiv
  • English
  • Redaktion

Newsportal - Ruhr-Universität Bochum

Presseinformation
Blick auf einen Monitor
Vermeintlich sicher: Die Signatur von Office-Dokumenten wies Schwachstellen auf.
© CASA/Schwettmann/ Robrahn
IT-Sicherheit

Forscher entdecken Sicherheitslücken in Microsoft Office-Anwendung

Das Problem betrifft Signaturen beispielsweise in Word-Dokumenten.

Wer ein wichtiges Word-Dokument sicher digital versenden will, kann es durch eine Signatur schützen – eigentlich. Denn wie Forscher des Lehrstuhls für Netz- und Datensicherheit am Horst-Görtz-Institut für IT-Sicherheit an der Ruhr-Universität Bochum und der Hochschule Mainz entdeckt haben, sind unbemerkte Manipulationen am Dokument ein Kinderspiel für Angreifer. Das Paper zu ihrer Forschungsarbeit „Every Signature is Broken: On the Insecurity of Microsoft Office’s OOXML Signatures“ stellen Simon Rohlmann, Vladislav Mladenov, Christian Mainka, Daniel Hirschberger und Jörg Schwenk auf der renommierten IT-Sicherheits-Konferenz „Usenix Security Symposium“ vor, die vom 9. bis zum 11. August 2023 in Kalifornien, USA, stattfindet.

„Das Ziel einer digitalen Signatur ist es, die Integrität eines Dokumentes zu bestätigen“, erklärt Simon Rohlmann, der inzwischen an der Hochschule Mainz tätig ist. Dazu wird auf der einen Seite auf der Basis von Public-Key-Algorithmen mit einem privaten Schlüssel eine Signatur erzeugt, die auf der anderen Seite mithilfe eines öffentlichen Schlüssels geprüft werden kann. Die Person, die das Dokument verschicken will, kann es somit vor nachträglichen Fremdeinflüssen sichern und es trotzdem für andere zugänglich machen. Die Person, die es empfängt, kann sich durch das sichere kryptografische Verfahren ebenso darauf verlassen, dass der Inhalt des Dokuments valide ist. Doch die Wissenschaftler haben eine Schwachstelle entdeckt, mit der sich Dokumente in Microsofts Office Open XML (OOXML) einfach manipulieren lassen: „Wir haben erkannt, dass Dokumente nur teilweise signiert sind. Dadurch könnte man beispielsweise neue Inhalte hinzufügen oder signierte Inhalte ausblenden, ohne, dass es jemand bemerkt“, führt Simon Rohlmann aus.

Fünf Angriffsmöglichkeiten

Die Wissenschaftler haben insgesamt fünf Angriffsmöglichkeiten ausfindig gemacht, die wegen struktureller Unstimmigkeiten im Office-System möglich sind: Die Entwickler des OOXML-Standards haben sich offenbar entschieden, nur Teile des Dokumentenpakets zu signieren, so der Wissenschaftler. „Dadurch wird die digitale Signatur für diese Dokumente praktisch wertlos. Ein Angreifer könnte beispielsweise signierte Dokumente verwenden, um Angriffe auf der Grundlage von Social Engineering besonders vertrauenswürdig erscheinen zu lassen, da das Dokument eine gültige Signatur eines Vorgesetzten enthält“, resümiert Simon Rohlmann.

XML-basierte Dateiformate, die das betrifft, werden von Microsoft schon seit 2007 eingesetzt. User erkennen sie meist an dem Suffix -X im Dateinamen; datei.docx oder datei.xlsx. Ihr Vorteil liegt vor allem darin, dass sie durch eine Komprimierungs-Technik wenig Speicherplatz benötigen und im Gegensatz zu ihrem Vorgängermodell eigentlich mehr Sicherheit bieten sollten.

Vier Schwachstellen sind repariert

Als die Wissenschaftler die Sicherheitslücken 2022 erstmals entdeckt haben, informierten sie umgehend Microsoft und die zuständige Standardisierungsbehörde darüber. Das Unternehmen hat das Problem allerdings trotz mehrmaliger Kontaktaufnahme seitens der Forscher nicht umgehend beseitigt. Seit dem vergangenen Monat ist immerhin in der Retail Version von Microsoft Office 2021 (Version 2305 (Build 16501.20210)) nur noch eine der fünf Angriffsmöglichkeiten, der Universal-Signature-Forgery (USF)-Angriff, möglich, alle anderen sind gefixt. „In der neusten LTSC-Version von Microsoft Office 2021 (Version 2108 (Build 14332.20517)) sind die Angriffe noch nicht gefixt“, so Rohlmann (Stand: Freitag, 16.6.2023).

Die Idee zur Erforschung dieser Sicherheitslücke basiert auf dem Erfolg einer anderen wissenschaftlichen Arbeit, die das Team des Lehrstuhls für Netz- und Datensicherheit 2019 publizierte: Hier konnten die Bochumer Wissenschaftler erstmals nachweisen, dass das Umgehen von digitalen Signaturen in PDF-Dokumenten von vielen Anwendungen nicht bemerkt wurde. Seitdem widmen sich die Forscher regelmäßig der Untersuchung von Signaturen, die gerade im Berufsleben oder aber im behördlichen Kontext immer weitere Verbreitung finden. Wie stark das Angebot von Microsoft-Office-Signaturen in diesem Bereich genutzt wird, kann Simon Rohlmann jedoch nicht genau einschätzen.

Originalveröffentlichung

Simon Rohlmann, Vladislav Mladenov, Christian Mainka, Daniel Hirschberger, Jörg Schwenk: Every Signature is Broken: On the Insecurity of Microsoft Office’s OOXML Signatures, PDF-Version des Papers

Pressekontakt

Simon Rohlmann
Hochschule Mainz
Fachbereich Wirtschaft
Tel.: +49 6131 628 3280
E-Mail: simon.rohlmann@hs-mainz.de

Angeklickt
  • Ältere Arbeit zu digitalen PDF-Signaturen
Download hochauflösender Bilder
Der Download der gewählten Bilder erfolgt als ZIP-Datei.
Bildzeilen und Bildnachweise finden Sie nach dem Entpacken in der enthaltenen HTML-Datei.
Nutzungsbedingungen
Die Verwendung der Bilder ist unter Angabe des entsprechenden Copyrights für die Presse honorarfrei. Die Bilder dürfen ausschließlich für eine Berichterstattung mit Bezug zur Ruhr-Universität Bochum verwendet werden, die sich auf die Inhalte des Artikels bezieht, der den Link zum Bilderdownload enthält.
Ich akzeptiere die Nutzungsbedingungen.
Veröffentlicht
Mittwoch
21. Juni 2023
14.01 Uhr
Von
Christina Scholten
Share
Teilen
Das könnte Sie auch interessieren
David Rupprecht vor zwei Bildschirmen
Start-up

Fit für die neue Mobilfunk-Generation

Versuchsaufbau
IT-Sicherheit

Die Sicherheit elektronischer Schaltungen beweisen

Eine Hand hält einen goldenen Chip
IT-Sicherheit

Manipulationen in Mikrochips aufspüren

Derzeit beliebt
Mail-App auf dem Bildschirm eines Tablets
Eindeutig und transparent

Die neuen E-Mail-Adressen für die RUB

Blick in den Untersuchungsraum
Innovative Bildgebung

Post-Covid und Muskelschmerz

Grafik mit Elementen zur Erstsemesterbegrüßung am 9. Oktober 2023
Wintersemester 2023/2024

Start ins Studium

 
Mehr Wissenschaft
Ressort
 
Zur Startseite
News
  • A-Z
  • N
  • K
Logo RUB
Impressum | Kontakt
Ruhr-Universität Bochum
Universitätsstraße 150
44801 Bochum

Datenschutz
Barrierefreiheit
Impressum
Schnellzugriff
Service und Themen
Anreise und Lagepläne
Hilfe im Notfall
Stellenangebote
Social Media
Facebook
Twitter
YouTube
Instagram
Seitenanfang y Kontrast N
Impressum | Kontakt