Abo
  • Services:

Bürosoftware: Angriff durch Office-Dokumente ohne Makros

Ein Angriff auf Microsofts Office-Suite setzt nicht auf vom Nutzer auszuführende Makros, sondern nutzt eine Sicherheitslücke in der Funktion Windows Object Linking and Embedding. Microsoft hat das entsprechende Update am Patch Tuesday freigegeben.

Artikel veröffentlicht am ,
Derzeit gibt es aktive Angriffe gegen Office-Nutzer - ohne Makros.
Derzeit gibt es aktive Angriffe gegen Office-Nutzer - ohne Makros. (Bild: Microsoft)

Mirosoft hat im Rahmen des Patch Tuesday eine kritische Sicherheitslücke in Office-Anwendungen geschlossen. Damit war es Angreifern möglich, mit einem manipulierten Dokument Rechner zu übernehmen. Anders als in vielen anderen Fällen ist es für den Angriff nicht notwendig, Nutzer zum Ausführen von Makros zu bewegen. Die Schwachstelle lag in der Funktion Windows Object Linking and Embedding (OLE).

Stellenmarkt
  1. Stadt Frankfurt am Main, Frankfurt am Main
  2. dSPACE GmbH, Ingolstadt

Wenn Nutzer ein entsprechend präpariertes Dokument öffnen, wird im Hintergrund eine HTML-Applikation (HTA) heruntergeladen, die sich als RTF-Dokument tarnt. Die Applikation führt dabei ein Skript aus, mit dem weitere Malware nachgeladen wird. Der vom Nutzer ursprünglich geöffnete Prozess winword.exe wird nach Angaben von Fireeye beendet, um die Aktivitäten der Malware zu verschleiern.

Meist keine Nutzerinteraktion erforderlich

Die Malware produziert offenbar auf manchen Systemen eine Warnmeldung, eine Interaktion der Nutzer sei jedoch nicht erforderlich, wie Proofpoint schreibt. In einigen Versionen von Word müssen Nutzer die Schaltfläche "Bearbeitung aktivieren" anklicken, bevor die Malware läuft. Die Hürde dürfte jedoch deutlich geringer sein als die Aktivierung von Makros.

Betroffen sind nach Angaben von Microsoft "alle unterstützten Office-Versionen und einige Windows-Versionen". Wer die eigenen Systeme checken will, findet die Indicators of Compromise hier.

Nach Angaben der Sicherheitsfirma Proofpoint wird ein entsprechender Exploit im Rahmen der Dridex-Botnetz-Kampagne genutzt. Die infizierten Rechner sollen an ein Botnetz mit dem Namen "Botnet 7500" angeschlossen werden. Welche Aktivitäten das Botnetz ausführt, sagt Proofpoint nicht. Historisch betrachtet war Dridex vor allem im Bankenbereich aktiv.



Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. (2 Monate Sky Ticket für nur 4,99€)
  3. 9,99€

Salzbretzel 12. Apr 2017

Ich bin mir nicht sicher ob dieses bline MS bashing wirklich den Sinn hat. In Libre...


Folgen Sie uns
       


Saugen oder Glitzern in Vampyr - Livestream

Es geht hoch her in London anno 1918, wie die Golem.de-Redakteure Christoph und Michael am eigenen, nach Blut lächzenden Körper erfahren.

Saugen oder Glitzern in Vampyr - Livestream Video aufrufen
Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Ingolstadt Flugtaxis sollen in Deutschland erprobt werden
  2. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  3. Cityairbus Mit Siemens soll das Lufttaxi abheben

Mars: Die Staubstürme des roten Planeten
Mars
Die Staubstürme des roten Planeten

Der Mars-Rover Opportunity ist nicht die erste Mission, die unter Staubstürmen leidet. Aber zumindest sind sie inzwischen viel besser verstanden als in der Frühzeit der Marsforschung.
Von Frank Wunderlich-Pfeiffer

  1. Nasa Dunkle Nacht im Staubsturm auf dem Mars
  2. Mars Insight Ein Marslander ist nicht genug

In eigener Sache: Freie Schreiber/-innen für Jobthemen gesucht
In eigener Sache
Freie Schreiber/-innen für Jobthemen gesucht

IT-Profis sind auf dem Arbeitsmarkt enorm gefragt, und die Branche hat viele Eigenheiten. Du kennst dich damit aus und willst unseren Lesern darüber berichten? Dann schreib für unser Karriere-Ressort!

  1. Leserumfrage Wie sollen wir Golem.de erweitern?
  2. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
  3. Leserumfrage Wie gefällt Ihnen Golem.de?

    •  /