Wer Anwender mit Word-Dateien kompromittieren will, muss nicht unbedingt auf Makros zurückgreifen. „Dank“ der Sicherheitslücke namens CVE-2017-11882 geht das auch ohne. Es handelt sich um den Formeleditor in Office, der hier die Schwachstelle ist. Und was Angreifer hier machen müssen, ist schon ziemlich interessant. Das Ganze läuft ziemlich trickreich ab, sodass wir uns eigentlich mal kurz über diese Art Angriff unterhalten müssen.
Was ist CVE-2017-11882 überhaupt?
CVE an sich ist ein Industriestandard. Ausgeschrieben steht das Ganze für „Common Vulnerabilities and Exposures“. Dabei handelt es sich um häufige Schwachstellen und Gefährdungen. Dieses System ermöglicht eine eindeutige Identifizierung von Sicherheitslücken in Computersystemen und Anwendungen. Damit wird auch ein reibungsloser Informationsaustausch zwischen den einzelnen Herstellern möglich.
Mit CVE-2017-11882 wird nun eine Sicherheitslücke bezeichnet, mit der Angreifer beliebigen Code im Kontext des jeweiligen Benutzers ausführen können. Das Alles betrifft Microsoft Office seit der Version 2007 mit Service Pack 3. Gut, das ist inzwischen aus dem Support gefallen. Aber das Thema betrifft auch das aktuelle Office 2016. Die Angreifer können einen Zustand ausnutzen, bei dem Objekte im Speicher nicht sauber verarbeitet werden. Man nennt das auch „Sicherheitsanfäligkeit durch eine Speicherbeschädigung in Microsoft Office“.
Wie funktioniert ein solcher Angriff?
Wenn so eine Sicherheitslücke besteht, muss die ja auch irgendwie ausgenutzt werden können. Und hier wird es ziemlich raffiniert. Es ist nicht einfach so, dass mit dem Öffnen eines Anhangs die Welt untergeht. Es läuft viel mehr in etwa so ab:
- Ein mögliches Opfer erhält eine Spam-Email, die eine Word-Datei (*.docx) als Anhang hat. In dieser Datei befindet sich ein OLE-Objekt.
- Wird diese Datei geöffnet, holt das OLE-Objekt eine als DOC getarnte RTF-Datei ab und öffnet diese. Ausgenutzt wird hier CVE-2017-11882.
- In der RTF-Datei befindet sich der Code, über den eine HTA-Datei geladen und ausgeführt wird (HTA ist eine Anwendung auf HTML).
- Die HTA-Datei wiederum enthält ein VB-Script, das ein PowerShell-Script auspackt und ausführt.
- Damit werden dann Kennwörter und alle möglichen anderen Daten abgefischt.
Welche Abhilfe kann man schaffen?
Zunächst einmal: Update, Update, Update. Die Sicherheitslücke hat Microsoft mit dem Januar-Update geschlossen. Dann sollte man unbedingt sicherstellen, dass das Ausführen unsicherer Skripte deaktiviert wurde. Oder viel einfacher: In Word zum Beispiel navigiert man nach Datei -> Optionen -> Trust Center -> Einstellungen für das Trust Center -> Geschützte Ansicht und stellt sicher, dass dort alle Haken gesetzt sind. Zudem ist es vielleicht keine blöde Idee, Makros nicht einfach so zuzulassen.
Natürlich kommen auch wieder viele Experten um die Ecke und empfehlen, statt Microsoft-Produkten lieber freie Software zu verwenden. „Mit Linux und Open Office wäre das nicht passiert“. Wir wissen doch aber, dass das so pauschal gar nicht stimmt. Ich wäre also am Ende für diese Aspekte:
- Office aktuell halten
- Den Antivirus aktuell und aktiv halten
- Regelmäßig nach Viren scannen
- Die Geschützte Ansicht aktivieren
Letzten Endes kann diese Problematik wohl nicht mehr auftreten, wenn man seine Software jetzt aktuell hat. Darüber hinaus darf man auch gern vor dem Öffnen nach wie vor darüber nachdenken, ob man einen Anhang öffnen muss. Und auch all die angeblich so sicheren Konkurrenzprodukte haben ihre Schwachstellen. So ehrlich darf man sein. Deshalb hilft das auch nicht weiter. Darum besser die genannten Maßnahmen ergreifen.