MS Office Build-In-Feature: Missbrauch per selbst-replizierender Malware möglich

In den Microsoft Office Build-In-Features gibt es eine Schwachstelle, die einer Malware es ermöglicht, sich zu verbreiten. Microsoft sieht keine Schwachstelle – aber nun ist wohl eine 'qkG Ransomware' aufgetaucht, die genau diese Technik nutzt.


Anzeige

The Hacker News hat das Thema in diesem Artikel aufgegriffen und die relevanten Informationen verknüpft.

Problem bekannt

Der italienische Sicherheitsforscher Antonio Buono hatte kürzlich auf eine Angriffsmethode hingewiesen, mit dem Angriffe die von Microsoft eingeführte (Makro-)Sicherheitsprüfung umgehen können, um selbstreplizierende Malware zu erstellen. Diese kann mit unschuldig aussehenden MS Word-Dokumenten verbreitet werden. Die Details des Angriffs sind in in diesem Artikel nachzulesen.

Laut The Hacker News kontaktierte Antonio Buono Microsoft mit seiner Entdeckung. Microsoft lehnte es ab, dieses Problem als Sicherheitslücke zu betrachten. Aus Sicht von Microsoft arbeitet die Funktion auf die vorgesehene Weise.

qkG Filecoder Ransomware entdeckt

Nun hat das Sicherheitsteam von Trend Micro eine qkG filecoder genannte Ransomware entdeckt, die Dateien verschlüsseln kann und Lösegeld erpresst. Die Ransomware ist vollständig in VBA-Makros implementiert und trägt den Namen qkG filecoder. Trend Micro erkennt die Schadsoftware als RANSOM_CRYPTOQKKG.A.

Es handelt sich um eine klassische Makro-Malware, die die von Microsoft Word benutzte Standard-Dokumentvorlage (normal.dot) infiziert. Erstellt der Benutzer ein neues, leeres Word-Dokument, basiert diese standardmäßig auf der normal.dot. Sprich: Alle neuen, leeren Word-Dokumente sind mit der Malware infiziert (diese hat sich repliziert).

Aufgefallen ist die Malware, als diese am 12. November 2017 (wohl aus Vietnam) auf VirusTotal hochgeladen wurde. Laut Trend Micro ist der Ansatz wohl mehr als ein 'proof of concept', denn in der Urfassung war noch nichts von einer Bitcoin-Adresse zu finden. Zwei Tage später waren sowohl die Bitcoin-Adresse als auch eine Routine, die ein Dokument an einem bestimmten Tag und zu einer bestimmten Uhrzeit verschlüsselt, zu finden. Am nächsten Tag sah das Security Team ein qkG-Beispiel mit einem anderen Verhalten (d.h. eine Anweisung, Dokumente mit einem bestimmten Dateinamenformat nicht zu verschlüsseln).

Laut Trend Micro ist qkG filecoder die erste Ransomware, die eine Datei (und einen Dateityp) verschlüsselt, und eine der wenigen dateiverschlüsselnden Malware-Beispiele, die vollständig in Visual Basic for Applications (VBA) Makros geschrieben wurde. Es ist auch einer der wenigen Fälle, die ungewöhnlich bösartigen Makrocode verwenden, um Systeme zu infizieren. Normalerweise verwenden die üblichen Malware-Familien die Makros hauptsächlich zum Herunterladen der eigentlichen Ransomware-Software. Der Fall ist im Trend Micro-Blog beschrieben, wo sich weitere Details nachlesen lassen.

Ähnliche Artikel:
Word DDE-Schwachstelle wird aktiv ausgenutzt
Microsoft Sicherheits-Ratschlag 4053440 zur DDE-Lücke


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu MS Office Build-In-Feature: Missbrauch per selbst-replizierender Malware möglich

  1. Herr IngoW sagt:

    Was kann man jetzt dagegen tun, bzw. gibt es schon eine Vorgehensweise?
    Außer jeden Schei……. anzuklicken natürlich.

    • Ralph sagt:

      Genau das tun: nicht jeden Schei… anklicken. Kein Unternehmen und keine Behörde werden Dir Rechnungen als zip-Archiv oder als Word Dokument schicken. Und die regelmäßig wiederkehrenden Präsentationen, die sich ja alle Jahre wieder über Mail verbreiten, sollten Dich einfach nicht neugierig genug machen, da etwas anzuklicken. Was übrigens für alle unangemeldeten und unaufgefordert zugesandten Anhänge gelten sollte.

      • Dekre sagt:

        Stimmt so nicht. Telekom sendet die Rechnung per E-mail mittels zip-Datei. Das Problem ist die elektronische Signatur bei diesen Rechnungen. Deshalb haben die es in eine zip-Datei gepackt.
        Elektronisch versandte Rechnungen, das machen viele Unternehmen, sind großteils nicht signiert. Die Fin-Verwaltung erkennt diese trotzdem an. Diese kommen dann mit pdf-Anhang. Telekom macht das richtig und ist gesetzestreu und da haben die es eben in eine zip-Datei gelegt.

        Das mit den Rechnungen auf elektronischen Weg zu versenden (E-mail oder Download) ist ein Problem, was der Gesetzgeber in § 15 Abs.3 UStG fixiert hat, jedoch nicht gelöst ist. Es geht hierbei um den Vorsteuerabzug für den Empfänger. Es ist zum Haare raufen.

  2. Martin Feuerstein sagt:

    Heißt das nun, dass Makros ausgeführt werden, auch wenn ich die Makro-Ausführung blockiert oder auf "Click-to-Play" (Standardeinstellung) gesetzt habe?

    Falls nur neue Dokumente wegen der normal.dot betroffen sind, sollte das selbst dem Durchschnitts-DAU auffallen, dass bei jedem neuen Dokument eine "komische Meldung" erscheint.

  3. Cool will ich auch haben ;)

    wo kann man den bekommen? Günter hast du noch meine Email Adresse?

Schreibe einen Kommentar zu Martin Feuerstein Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.