CERT-Bund warnt aktuell vor dem Qakbot-Trojaner, der aktuell wohl in weiteren Kampagnen über präparierte Excel-Dateien mit schädlichen Makros verteilt wird. Qakbot späht u. a. E-Mails und Kontakte aus, um diese für weitere Kampagnen zu verwenden.
Ich bin über nachfolgenden Tweet auf dieses Thema aufmerksam geworden – im verlinkten Tweet der Schweizer finden sich Links auf Beispiele.
2015
Alle Sicherheitsmeldungen zum Thema Austausch von Office-Dateien (inkl. PDF) weisen eindeutig in die Richtung, dass es sich um Datenformate handelt, die nur für die interne Verwendung konzipiert wurden. Bei einem Austausch über interne Netzwerkgrenzen hinweg tragen beide Seiten (Sender wie Empfänger) die Verantwortung und ein überhaupt nicht zu kalkulierendes Sicherheitsrisiko. Doch genau das scheint bis heute noch gar nicht bei den Verantwortlichen angekommen zu sein.
PDF ist gewiss nicht für interne Nutzung konzipiert, und Makros in Office-Dokumenten sind seit Äonen standardmäßig deaktiviert, bzw. man lässt nur digital signierte zu. Wer das ändert trotz der entsprechenden Warnmeldungen (oder Uralt-Office-Produkte einsetzt), hat kein Mitleid von mir…
In Firmen kann man per Gruppenrichtlinie das Ausführen nicht digital signierter Makros verbieten, d. h. es dem ungebildeten Einzelanwender gar technisch verbieten, den Schutz (auch nur temporär) aufzuheben.
Und genau diese Haltung führt dazu, dass Ransomware "keinerlei Chance" in diesen Firmenumgebungen und bei Privatanwendern hat – sieht man ja fast täglich hier im Blog, wenn ich wieder schreiben muss "es hat einen Ransomware-Angriff auf Fima xyz gegeben – der ist aber schief gegangen, weil die cleveren Admins nur signierte Makros in Office-Dokumenten zugelassen und die Gruppenrichtlinien sauber aufgesetzt haben – wat für toole Kerle, da draußen in den Unternehmen …".
Sorry, den Spruch mit "kein Mitleid von mir" ist imho höchst problamtisch – das ist genau die Haltung, die dann am Ende des Tages geradewegs in die Vorfälle führen. Ein kluger Admin, der über den Schüsselrand denkt/schaut, weiß, dass er jederzeit – und sei es durch einen unterlaufenen Fehler – in die von dir gerade so vehement zurückgewiesenen Szenarien rauschen kann. Es braucht ja nur bei einem Windows Update ein Fehler zu unterlaufen, dass GPOs nicht mehr greifen – es wird nicht bemerkt – und irgendwann knallt es.
Nicht umsonst gibt es den Spruch: Es gibt zwei Arten von Firmen, die bereits gehackt wurden und die, die es noch nicht gemerkt haben.
Denke mal drüber nach – und wenn dir in den nächsten 30 Jahren kein Fehler unterläuft – dürfen wir dann den Hut vor dir ziehen (ich selbst werde das vermutlich nicht mehr können).
Ich kann nur für die vergangenen mehr als 30 Jahre sprechen: nämlich dass kein einziger meiner Firmenkunden jemals Schadsoftware-Befall hatte, zumindest meiner Kenntnis nach. Und das hat seine Gründe…
Und natürlich bleibe ich bei meiner Aussage, dass jeder, der nicht nur digital signierte Makros zulässt, absolut kein Mitleid von mir zu erwarten hat. Nur genau dann sehe ich den Austausch von Office-Dokumenten als vertretbar. Und so wird es ja auch gehandhabt.