Nicht sicher: IT-Forscher haben eine erhebliche Sicherheitslücke in Microsoft Office entdeckt. Dadurch lassen sich vermeintlich geschützte Dokumente unerkannt manipulieren – trotz digitaler Signatur. Denn die in Office-Anwendungen verwendeten Signatur-Methoden haben gleich fünf Schwachstellen, durch die eine Signatur gefälscht oder umgangen werden kann, wie das Team berichtet. Microsoft hat zwar vier dieser Sicherheitslücken in der neueste Retail-Version des Office-Pakets behoben, in der vor allem in Unternehmen eingesetzten LTSC-Version von 2021 bestehen sie aber weiterhin.
Um wichtige Dokumente vor einer versteckten Manipulation zu schützen und ihre Echtheit zu belegen, kann man eine digitale Signatur nutzen. Dann zeigt eine Signaturzeile an, dass diese Datei nicht nachträglich verändert wurde. Gleichzeitig ist diese Datei beim Verschicken beispielsweise per E-Mail verschlüsselt und somit vor unbefugten Zugriffen geschützt. Dafür wird auf Basis von Public-Key-Algorithmen mit einem privaten Schlüssel eine Signatur erzeugt, die beim Empfänger mithilfe eines öffentlichen Schlüssels geprüft werden kann.
„Das Ziel einer digitalen Signatur ist es, die Integrität eines Dokumentes zu bestätigen“, erklärt Simon Rohlmann von der Ruhr-Universität Bochum (RUB) und der Universität Mainz. Allerdings haben IT-Forscher der RUB schon im Jahr 2019 festgestellt, dass das Signatur-System bei PDF-Dateien erhebliche Lücken aufweist.
Lücken in der Signatur von Office-Dateien
Jetzt zeigt sich, dass es auch bei Microsoft Office erhebliche Sicherheitslücken im Signatursystem gibt. Das Team um Rohlmann hat insgesamt fünf Angriffsmöglichkeiten ausfindig gemacht, die wegen struktureller Unstimmigkeiten im Office-System möglich sind. Demnach hängen die Schwachstellen eng mit dem sogenannten OOXML-Standard zusammen. Diese XML-basierten Dateiformate sind unter anderem an dem Suffix -X im Dateinamen zu erkennen: datei.docx oder datei.xlsx.
Der Vorteil dieses Standards liegt vor allem darin, dass er durch eine Komprimierungs-Technik wenig Speicherplatz benötigt und im Gegensatz zum Vorgängermodell eigentlich mehr Sicherheit bieten soll. Doch wie Rohlmann und sein Team herausfanden, haben sich die Entwickler des OOXML-Standards entschieden, nur Teile des Dokumentenpakets in die digitale Signatur einzubinden. „Dies führt zu erheblichen Diskrepanzen zwischen der Struktur der Office-Dokumente und der Art, wie die digitalen Signaturen verifiziert werden“, berichten die Forscher.
Fünf Angriffsmöglichkeiten
In ihren Tests machte das Team fünf verschiedene Angriffsmöglichkeiten ausfindig, die wegen dieser Unstimmigkeiten im Office-System möglich sind. So kann man den Inhalt eines vermeintlich geschützten und per E-Mail verschickten Dokuments verändern und ihm dann eine neue, vermeintlich unberührte Signatur verleihen. Dafür reicht es schon aus, ein aus einer anderen Datei extrahiertes Signatur-Token nach der Manipulation wieder einzufügen.
„So können beliebige OOXML-Dateien konstruiert werden, die als korrekt signiert dargestellt werden“, berichten Rohlmann und seine Kollegen. Auch Meta-Informationen, eine Reparatur-Funktion von Microsoft Office und der Umgang der Software mit Styles und Fonts lassen sich für Manipulation ausnutzen. „Dadurch wird die digitale Signatur für diese Dokumente praktisch wertlos“, sagt Rohlmann. „Man könnte beispielsweise neue Inhalte hinzufügen oder signierte Inhalte ausblenden, ohne dass es jemand bemerkt.“
Schwachstellen nur teilweise behoben
Gravierend auch: Das Team entdeckte diese Schwachstellen in nahezu allen von ihnen getesteten Versionen von Microsoft-Office – sowohl für Windows wie für macOS von Apple. Darunter waren sowohl ältere Office-Pakete von 2013 oder 2016 als auch neue Versionen von Microsoft Office 2021 und Office 365. „Es ist überraschend, dass entsprechende Hinweise aus älteren OOXML-Sicherheitsüberprüfungen offenbar über Jahrzehnte hinweg ignoriert wurden. Das Ergebnis ist verheerend“, schreiben die Forscher.
Nachdem das Forscherteam diese Sicherheitslücken im Jahr 2022 entdeckte, hat es sofort Microsoft informiert. Das Unternehmen hat das Problem allerdings trotz mehrmaliger Hinweise bisher nicht umgehend beseitigt. Seit dem vergangenen Monat sind immerhin vier der fünf Schwachstellen in der Retail Version von Microsoft Office 2021 (Version 2305, Build 16501.20210) beseitigt. Bei ihr ist nur noch eine der Angriffsmöglichkeiten, der sogenannte Universal-Signature-Forgery (USF)-Angriff, möglich.
Doch ausgerechnet in der häufig in Unternehmen eingesetzten Lizenzversion des Office-Pakets sind die Sicherheitlücken noch vorhanden: „In der neusten LTSC-Version von Microsoft Office 2021 (Version 2108, Build 14332.20517) sind die Angriffe noch nicht gefixt“, sagt Rohlmann. (Usenix Security Symposium, 2023; Preprint)
Quelle: Ruhr-Universität Bochum