IT-Sicherheit Forscher entdecken Sicherheitslücken in Microsoft Office-Anwendung
Das Problem betrifft Signaturen beispielsweise in Word-Dokumenten.
Wer ein wichtiges Word-Dokument sicher digital versenden will, kann es durch eine Signatur schützen – eigentlich. Denn wie Forscher des Lehrstuhls für Netz- und Datensicherheit am Horst-Görtz-Institut für IT-Sicherheit an der Ruhr-Universität Bochum und der Hochschule Mainz entdeckt haben, sind unbemerkte Manipulationen am Dokument ein Kinderspiel für Angreifer. Das Paper zu ihrer Forschungsarbeit „Every Signature is Broken: On the Insecurity of Microsoft Office’s OOXML Signatures“ stellen Simon Rohlmann, Vladislav Mladenov, Christian Mainka, Daniel Hirschberger und Jörg Schwenk auf der renommierten IT-Sicherheits-Konferenz „Usenix Security Symposium“ vor, die vom 9. bis zum 11. August 2023 in Kalifornien, USA, stattfindet.
Fünf Angriffsmöglichkeiten
Die Wissenschaftler haben insgesamt fünf Angriffsmöglichkeiten ausfindig gemacht, die wegen struktureller Unstimmigkeiten im Office-System möglich sind: Die Entwickler des OOXML Standards haben sich offenbar entschieden, nur Teile des Dokumentenpakets zu signieren, so Simon Rohlmann. „Dadurch wird die digitale Signatur für diese Dokumente praktisch wertlos. Ein Angreifer könnte beispielsweise signierte Dokumente verwenden, um Angriffe auf der Grundlage von Social Engineering besonders vertrauenswürdig erscheinen zu lassen, da das Dokument eine gültige Signatur eines Vorgesetzten enthält“, resümiert der Wissenschaftler, der inzwischen an die Hochschule Mainz gewechselt ist.
XML-basierte Dateiformate, die das betrifft, werden von Microsoft schon seit 2007 eingesetzt. User erkennen sie meist an dem Suffix -X im Dateinamen; datei.docx oder datei.xlsx. Ihr Vorteil liegt vor allem darin, dass sie durch eine Komprimierungs-Technik wenig Speicherplatz benötigen und im Gegensatz zu ihrem Vorgängermodell eigentlich mehr Sicherheit bieten sollten.
Als die Wissenschaftler die Sicherheitslücken 2022 erstmals entdeckt haben, informierten sie umgehend Microsoft und die zuständige Standardisierungsbehörde darüber. Das Unternehmen hat das Problem allerdings trotz mehrmaliger Kontaktaufnahme seitens der Forscher nicht umgehend beseitigt. Seit dem letzten Monat ist immerhin in der Retail Version von Microsoft Office 2021 (Version 2305 (Build 16501.20210)) nur noch eine der fünf Angriffsmöglichkeiten, der Universal-Signature-Forgery (USF)-Angriff, möglich, alle anderen sind gefixt. „In der neusten LTSC-Version von Microsoft Office 2021 (Version 2108 (Build 14332.20517)) sind die Angriffe noch nicht gefixt“, so Rohlmann (Stand: Freitag, 16.6.2023).
