Word DDE-Schwachstelle wird aktiv ausgenutzt

Aktuell laufen wohl Malware-Angriffswellen, die eine DDE-Schwachstelle in Microsoft Word ausnutzen, um Schadsoftware zu verteilen.


Werbung



Kürzlich hatte ich über eine Sicherheitslücke in Outlook berichtet, die über die Word DDE-Funktion die Makrosperre umgehen kann (Sicherheit: Outlook patzt, Malware trotz Office Makrosperre ausführbar). Kurz nachdem diese Schwachstelle öffentlich bekannt wurde, publizierten die Sicherheitsspezialisten von Cisco Talos einen Bericht, dass diese Technik bereits durch Remote Access Trojaner (RAT) ausgenutzt werde.

Nun ist bekannt geworden, dass Cyber-Kriminelle das Necurs Botnet verwenden, um die Locky Ransomware sowie den TrickBot Banking-Trojaner zu verbreiten. Das Necurs Botnet besteht aus über 6 Millionen kompromittierten Computern und wird zum Aussenden von Spam-Mail verwendet.

Die Leute erhalten momentan wohl englischsprachige E-Mails mit Rechnungen oder ähnlichem, wobei eine .doc-Datei angehängt ist. Wer diese Word-Datei öffnet, löst über den DDE-Mechanismus von Word den Download der betreffenden Malware aus. Hinweise zu diesen Angriffen und wie man sich vor der DDE-Lücke schützen kann, finden sich bei The Hackers News sowie in diesem Artikel.

Ähnliche Artikel:
Undokumentiertes Word-Features für Angriffe benutzt
Exploit für Microsoft PowerPoint trickst Antivirus aus
Zusy PowerPoint-Malware: Download durch Zeigen auf Link
Sicherheit: Outlook patzt, Malware trotz Office Makrosperre ausführbar


Werbung

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Kommentare zu Word DDE-Schwachstelle wird aktiv ausgenutzt

  1. Bei mir hieß die aber Cadey Mercury 😉

  2. Martin sagt:

    Danke für den Artikel! Ich habe mal nach den Screenshots der folgenden Seite die Einstellungen von Word 2016 angepasst.
    https://myonlinesecurity.co.uk/wp-content/uploads/2014/10/word-file-block-settings.jpg

    Dabei ist mir ein vermutlicher Übersetzungsfehler in der deutschen Word-Version aufgefallen. Unter “Optionen” > “Trust Center” > “Einstellungen für das Trust Center” > “Zugriffsschutzeinstellungen” müsste es beim Punkt “Word 2007-Binärdokumente und -vorlagen” 2003 (statt 2007) heißen. Es gibt nämlich direkt darüber schon die Einstellung “Binärdokumente und Vorlagen im Format Word 2007 und später”.

    • Martin sagt:

      Übersetzungsfehler kann man das natürlich nicht wirklich nennen, da eine Jahreszahl ja nicht übersetzt wird. Es ist wohl einfach ein Tippfehler in der deutschen Version 2016 – hoffentlich, nicht dass die Funktion dahinter auch den Fehler enthält.

    • Andreas K. sagt:

      @Martin
      Wie kommst Du zum Text für den Screenshot? Habe vergeblich auf der Seite eine Erklärung der Einstellungen gesucht.

      @alle
      Will man den Haken “automatische verknüpfung beim öffnen aktualisieren” unter Word raushaben (wie empfohlen), kann man das per GPO machen:
      Benutzerkonfiguration>Administrative Vorlagen>Microsoft Word 20xx>Word-Optionen>Erweitert

  3. Oliver sagt:

    Weitere Infos wohl vom Urheber https://sensepost.com/blog/2017/macro-less-code-exec-in-msword/

    Und Fix via Registry https://twitter.com/ParvezGHH/status/918423761086492672

    BTW ist das kein “Problem” von Outlook und DDE, sondern klappt auch mit Notes und so 😉 Es ist weiterhin die User Awareness gefragt, denn mit der Security bist immer hinten dran…

    • Martin sagt:

      Der obere Link zum Blogeintrag auf sensepost.com wird von Eset, mit Hinweis auf möglicherweise gefährlichen Inhalt, geblockt – ohne Freigabe-Wahlmöglichkeit.

      • Oliver sagt:

        Dann mal den AV Scanner wechseln oder lieber gleich ohne…
        u.a. was auf der Webseite ist…

        Disclosure Timeline:
        •23/08/2017 – Reported to Microsoft to see if they are interested in a fix.
        •23/08/2017 – Microsoft responded that they successfully reproduced the issue and ask for more details.
        •26/09/2017 – Microsoft responded that as suggested it is a feature and no further action will be taken, and will be considered for a next-version candidate bug.
        •09/10/2017 – Public blog post

  4. Da renne ich schon seit Jahren im Büro gegen Windmühlen, jedes mal werde ich wieder aufs neue gefragt, wieso sich die Office Dokumente nicht mehr direkt aus dem Outlook starten lassen.

    Es sollte einfach endlich mal verboten gehören .doc und .docx usw. als Email anhang versenden zu können leider gehts halt auch mit pdf Dateien rechner zu manipulieren.

    Aber warum Schafft das Microsoft nie das es es sich mit dem nächsten Patch wieder Öffnen lässt?
    Ah sicher damit die IT Abteilung auch mal wieder was zu arbeiten hat!

    Es könnte doch so einfach sein.

    • Dekre sagt:

      Na ja, da muss man wirklich abwägen und so einfach geht es nicht. Ich weiß, dass IT-Leute in bestimmten Unternehmen den Empfang von Word-/Excel-Dateien per se blocken. Das kann aber keine Lösung sein.
      Ich gebe Dir teilweise Recht, dass es nicht aus Outlook zu öffnen ist. Die Datei muss dann separat abgespeichert werden.

      Ich habe aber oft den Fall des Versenden von Word- wie Excel-Dateien und deren Empfang. Das ist auch gut so und so soll es bleiben. Ich kann Dir deshalb nicht zustimmen, das generell nicht zu ermöglichen und dafür noch Microsoft Office verantwortlich zu machen. Das ist nicht sachgerecht und auch unlogisch. Man ist mit Verboten schnell bei der Hand und diese sind so unlogisch dass es schon lustig wird. Ein Beispiel was nicht im Verbot endete:
      Es gab mal Zeiten bei bestimmten Einrichtungen mit absoluten Verbot von C2H5OH (Alkohol), alle die dieses kennen und wo es galt, kennen auch das chemische Symbol. Nicht zu verwechseln mit Äthanol (hat H6 in der Kette und macht blind !!!). = Fazit = Nur weil alle wegen Besoffenheit aus dem Fenster k… mauert man keine Fenster zu. Das fällt mir jetzt nicht nur zu Deinem Beitrag ein, sondern immer und ist in der Gesellschaft insgesamt anzuwenden (egal ob ost west nord süd).

      • Dekre sagt:

        Ergänzung zum Beispiel- das mit dem Fenster zumauern wurde nämlich nachgedacht.

        • Meinetwegen können die auch den Verkauf von C2H5OH (Alkohol) verbieten!

          Aber ich habe nicht gesagt das die Regierung da ein verbot aussprechen sollte, ich musste gerade nur an die DAB Empfänger denken, .doc, .docx Dateien zu versenden ist aber einfach nur einen schlechte Angewohnheit.
          Allein schon das vorherige abspeichern könnte ein Antivirus Programm dazu veranlassen die Datei zu überprüfen.
          Das Problem ist einfach die Leute im Büro dazu zu Sensibilisieren Dokumente vorher noch mal Abzuchecken, gerade wegen der Masse an Mails die dort Tag Täglich ein als auch wieder versandt wird.

          Ich hab halt die schlechte Angewohnheit Emails meistens zu verschlüsseln und denke meist nicht darüber nach das der Empfänger kein PGP hat um die Nachrichten wieder zu entschlüsseln, noch dazu hänge ich meist Porno Bildchen hinten dran damit die Größe der Mail wieder stimmt.

  5. Martin sagt:

    Du meinst, dass Microsoft Deine Restriktionen wieder zurücksetzen soll, wenn die Lücke(n) geschlossen wurde(n), wegen deren Vorhandensein Du sie gesetzt hattest? Woher soll Microsoft denn wissen, dass Du sie nur bis zum Patchen der Lücke(n) gesetzt haben möchtest?

    Oder habe ich da etwas missverstanden und Microsoft hat nun selbst das Öffnen in Outlook blockiert? Ich habe mit etwas Gebastel nur Word und Excel 2016 installiert und habe deshalb keine Erfahrung mit Outlook. Per configuration.xml habe ich die Installation aller anderen Anwendungen verhindert.

    • Martin sagt:

      Der Post sollte als Antwort auf den darüberlegenden von “der_Puritaner” erscheinen, aber da habe ich wohl auf den falschen Antwort-Link gedrückt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.