Angriff auf Word funktioniert ohne Makros

Kriminelle verwenden eine neue Technik, um Benutzer über kompromittierte Word-Dokumente mit Malware zu infizieren. Der trickreichte Angriff funktioniert offenbar auch ohne Makros.


Anzeige

Bisher verteilten Malware-Autoren ihre Schädlinge häufig über Microsoft Office-Dokumenten wie Word, Excel oder PowerPoint mittels eingebundener Makros. Diese können, unabhängig von der jeweiligen Office-Version, ausgeführt werden, sobald der Benutzer die Datei öffnet. Standardmäßig erhalten Benutzer zwar Warnungen von Office, wenn die zu öffnende Datei ein Makro enthält. Aber der Benutzer entscheidet, ob er der Makroausführung zustimmt.

Neue Angriffsmethode

Sicherheitsforscher von Trustwave haben haben eine E-Mail-Spam-Kampagne beobachtet, bei der beim Öffnen des Anhangs ein Programm zum Stehlen von Passwörtern als letzte Nutzlast heruntergeladen wird. Die Sicherheitsforscher haben den Angriff im SpiderLabs-Blog beschrieben. Die Kriminellen verwenden einen trickreichen, vierstufigen Angriffsweg (siehe Bild).

Angriff auf Word
(Quelle: Trustwave)

  • Das potentielle Opfer erhält eine Spam-E-Mail mit einem DOCX-Dateianhang.  Die DOCX-Datei enthält ein eingebettetes OLE-Objekt.
  • Lädt das Opfer die DOCX-Datei herunter und öffnet sie, holt das OLE-Objekt eine RTF-Datei (getarnt als DOC-Datei) von den Servern der Angreifer und öffnet diese neue Datei.
  • Die DOC-Datei verwendet die Sicherheitsanfälligkeit des Office-Formeleditors (von CVE-2017-11882), siehe die Artikel am Beitragsende.
  • Über den Exploit-Code wird eine MSHTA-Befehlszeile ausgeführt, um eine HTA-Datei zu laden und dann auszuführen (HTA ist ja eine HTML-Anwendung).
  • Die HTA-Datei enthält ein VBScript, das ein PowerShell-Skript entpackt. Das PowerShell-Skript lädt den Code zum Abfischen der Kennwörter herunter und installiert diesen.

Anschließend stiehlt die Malware Passwörter von Browsern, E-Mail- und FTP-Clients und lädt diese Daten auf einen Server im Internet hoch. Die Schwachstelle im Formeleditor 3.0 von Office wurde von Microsoft im Januar 2018 durch die Deaktivierung des Moduls gefixt (siehe Microsoft Patchday: Office, Flash, Windows (9. Januar 2018)). (via)

Ähnliche Artikel:
Hacker nutzen Office Formeleditor-Schwachstelle CVE-2017-11882 aus
MS Office: Zyklon-Malware nutzt Sicherheitslücken
Hat Microsoft Zugriff auf Teile des Office-Quellcodes verloren?
Microsoft Office Formeleditor 3.0 reaktivieren


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit, Word verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Angriff auf Word funktioniert ohne Makros


  1. Anzeige
  2. vraenkij sagt:

    oder die Alternativen zu MS nutzen
    – softmaker
    – libreOff
    – openOff
    dann wird ooch nix gemopst. ;)

    • ein-leser sagt:

      Und dazu das System absichern.
      Es werden sogut wie immer die gleichen Methoden genutzt. Vbscript, Powershell

    • Günter Born sagt:

      Zu LibreOffice hatte ich den jüngsten Sündenfall gerade im Blog. Hat zwar mit dem Formeleditor nichts zu tun (die aktuelle Angriffsmethode ist da nicht nutzbar). Aber je näher die sich an MS Office heran rücken, umso höher wird die Chance, dass da plötzlich die gleichen Mechanismen greifen ;-).

      • priel sagt:

        Softmaker-office ist da anscheinend/offensichtlich besser aufgestellt, dazu sind die auch noch wesentlich kompatibler. Hab in jetzt > 10 Jahren noch keine wirklich gravierenden, nicht lösbaren Inkompatibilitäten bei softmaker erlebt. Schadstoff eh keinen.
        Wenn man dazu nun noch die Angebote abwartet, kostet ja im Normalpreis bereits wesentlich weniger, dann spart man richtig. Und so schwachsinnige “Modelle”, wie die tumbe MS Geldbeschaffung via Abo, existieren bei denen aus Nürnberg nicht.
        Sehr zu empfehlen. :)

  3. Doc WP sagt:

    Wurde dieser Formeleditor nicht in 2017 in unkonventioneller Weise gepatched, weil da kein Quellcode mehr vorhanden war ? Das würde heißen, dass nur ältere Office-Versionen vor Office 2010 und ungepatchte neue Versionen betroffen wären. Andererseits gab es früher auch noch kein docx Format. Schließlich kann man, wenn man eine etwas aktuellere Office-Version besitzt, die Datei EQNEDIT32.exe aus dem Verzeichnis Common Files\Microsoft Shared\Equation auch auf ein System mit älterem Office übertragen, da gibt es hier keine Probleme.

  4. Anzeige

  5. StefanP sagt:

    Wer also – wie wir hier auf allen Systemen – den Windows Scripting Host ausgeschaltet hat, der sollte sicher sein. Richtig?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.