4
Full Disclosure: Microsoft Office - OLE Packager allows code execution in all Office versions, with macros disabled and high security templates applied
Noch so eine Altlast aus Windows 3.1-Tagen.
Also wie immer vorsicht mit Dateien aus nicht vertrauenswürdigen Quellen.
lks
PS: Auch bei vertrauenswürdigen Quelen sollte man natürlich auf der Hut sein, weil derjenige als Trojaner benutzt werden könnten.
http://seclists.org/fulldisclosure/2015/Jul/11
Also wie immer vorsicht mit Dateien aus nicht vertrauenswürdigen Quellen.
lks
PS: Auch bei vertrauenswürdigen Quelen sollte man natürlich auf der Hut sein, weil derjenige als Trojaner benutzt werden könnten.
http://seclists.org/fulldisclosure/2015/Jul/11
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 276387
Url: https://administrator.de/forum/full-disclosure-microsoft-office-ole-packager-allows-code-execution-in-all-office-versions-with-macros-276387.html
Ausgedruckt am: 07.04.2025 um 11:04 Uhr
4 Kommentare
Neuester Kommentar
Hi.
Wäre doch mal spaßig, zu überprüfen, ob der Author sich mit der Ansage
Hab ich mal gemacht.
Eicar.com genommen, bei Virustotal gescannt: 52/55 erkannten ihn
Eicar in .rtf eingebettet: 30/54
Eicar in .docx eingebettet: 34/53
Die meisten guten Scanner (wir sprechen hier nicht von AliBaba) erkennen das Einbetten also problemlos.
Dem Guten scheinen gängige Massenscanner nicht geläufig zu sein. Auch besteht ja ein himmelweiter Unterschied zwischen "ein Angreifer schickt mir eine Mail und mein Scanner kennt das eingebettete ole-von-Beust-Objekt nicht" und "zusätzlich hindert mein Scanner mich auch nicht an der Ausführung".
Alles in allem eher mal wieder heiße Luft.
Wäre doch mal spaßig, zu überprüfen, ob der Author sich mit der Ansage
Most products I've tested fail to scan for Packager objects inside RTF-files
wirklich Mühe gegeben hat, oder?Hab ich mal gemacht.
Eicar.com genommen, bei Virustotal gescannt: 52/55 erkannten ihn
Eicar in .rtf eingebettet: 30/54
Eicar in .docx eingebettet: 34/53
Die meisten guten Scanner (wir sprechen hier nicht von AliBaba) erkennen das Einbetten also problemlos.
Dem Guten scheinen gängige Massenscanner nicht geläufig zu sein. Auch besteht ja ein himmelweiter Unterschied zwischen "ein Angreifer schickt mir eine Mail und mein Scanner kennt das eingebettete ole-von-Beust-Objekt nicht" und "zusätzlich hindert mein Scanner mich auch nicht an der Ausführung".
Alles in allem eher mal wieder heiße Luft.
Der Author hat nun weitere Details hinzugefügt. Evtl. bezieht er sich ja sogar auf diesen Thread.
Kevin, your embedded SalesInvoice.js is no virus. No wonder, no scanner detects it when it's embedded. Even if it is scanned non-embedded, it is not detected (0/55). The second one, the excel sheet, does nothing on my excel 2010, nothing is even embedded, mouse buttons aren't swapped.
Kevin, your embedded SalesInvoice.js is no virus. No wonder, no scanner detects it when it's embedded. Even if it is scanned non-embedded, it is not detected (0/55). The second one, the excel sheet, does nothing on my excel 2010, nothing is even embedded, mouse buttons aren't swapped.
Zitat von @DerWoWusste:
Der Author hat nun weitere Details hinzugefügt. Evtl. bezieht er sich ja sogar auf diesen Thread.
Kevin, your embedded SalesInvoice.js is no virus. No wonder, no scanner detects it when it's embedded. Even if it is scanned
non-embedded, it is not detected (0/55). The second one, the excel sheet, does nothing on my excel 2010, nothing is even embedded,
mouse buttons aren't swapped.
Der Author hat nun weitere Details hinzugefügt. Evtl. bezieht er sich ja sogar auf diesen Thread.
Kevin, your embedded SalesInvoice.js is no virus. No wonder, no scanner detects it when it's embedded. Even if it is scanned
non-embedded, it is not detected (0/55). The second one, the excel sheet, does nothing on my excel 2010, nothing is even embedded,
mouse buttons aren't swapped.
o.k. Ich habe es halt nciht verifiziert. Aber zumindest ist das ein einfalösstor, daß man nciht außer acht lassen soltle.
lks
Aber zumindest ist das ein einfalösstor, daß man nciht außer acht lassen soltle
Wenn man keine Endpunkt-Virenscanner hat, die ole scannen (was ja nachgewiesenermaßen praktisch alle guten eh tun), dann sollte man zumindest auf dem Mailgateway einen Scanner einsetzen, der ole scannt, ja. Hat man an beiden Stellen Scanner ohne ole-Scan, dann wird der Virus eben ggf. erst bei Ausführung erkannt - schlimm? Nö.
