Bürosoftware: Angriff durch Office-Dokumente ohne Makros

Ein Angriff auf Microsofts Office-Suite setzt nicht auf vom Nutzer auszuführende Makros, sondern nutzt eine Sicherheitslücke in der Funktion Windows Object Linking and Embedding. Microsoft hat das entsprechende Update am Patch Tuesday freigegeben.

Artikel veröffentlicht am ,
Derzeit gibt es aktive Angriffe gegen Office-Nutzer - ohne Makros.
Derzeit gibt es aktive Angriffe gegen Office-Nutzer - ohne Makros. (Bild: Microsoft)

Mirosoft hat im Rahmen des Patch Tuesday eine kritische Sicherheitslücke in Office-Anwendungen geschlossen. Damit war es Angreifern möglich, mit einem manipulierten Dokument Rechner zu übernehmen. Anders als in vielen anderen Fällen ist es für den Angriff nicht notwendig, Nutzer zum Ausführen von Makros zu bewegen. Die Schwachstelle lag in der Funktion Windows Object Linking and Embedding (OLE).

Stellenmarkt
  1. Consultant SAP - Lizenzierung & Compliance (m/w/d)
    SVA System Vertrieb Alexander GmbH, deutschlandweit
  2. Ingenieurin (m/w/d) im Dokumentenmanagement
    THOST Projektmanagement GmbH, Essen, Dortmund
Detailsuche

Wenn Nutzer ein entsprechend präpariertes Dokument öffnen, wird im Hintergrund eine HTML-Applikation (HTA) heruntergeladen, die sich als RTF-Dokument tarnt. Die Applikation führt dabei ein Skript aus, mit dem weitere Malware nachgeladen wird. Der vom Nutzer ursprünglich geöffnete Prozess winword.exe wird nach Angaben von Fireeye beendet, um die Aktivitäten der Malware zu verschleiern.

Meist keine Nutzerinteraktion erforderlich

Die Malware produziert offenbar auf manchen Systemen eine Warnmeldung, eine Interaktion der Nutzer sei jedoch nicht erforderlich, wie Proofpoint schreibt. In einigen Versionen von Word müssen Nutzer die Schaltfläche "Bearbeitung aktivieren" anklicken, bevor die Malware läuft. Die Hürde dürfte jedoch deutlich geringer sein als die Aktivierung von Makros.

Betroffen sind nach Angaben von Microsoft "alle unterstützten Office-Versionen und einige Windows-Versionen". Wer die eigenen Systeme checken will, findet die Indicators of Compromise hier.

Golem Karrierewelt
  1. Masterclass Data Science mit Pandas & Python: virtueller Zwei-Tage-Workshop
    29./30.09.2022, Virtuell
  2. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    04.-07.07.2022, virtuell
Weitere IT-Trainings

Nach Angaben der Sicherheitsfirma Proofpoint wird ein entsprechender Exploit im Rahmen der Dridex-Botnetz-Kampagne genutzt. Die infizierten Rechner sollen an ein Botnetz mit dem Namen "Botnet 7500" angeschlossen werden. Welche Aktivitäten das Botnetz ausführt, sagt Proofpoint nicht. Historisch betrachtet war Dridex vor allem im Bankenbereich aktiv.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Bluetooth-Tracker: Airtag-Firmware lässt sich komplett austauschen
    Bluetooth-Tracker
    Airtag-Firmware lässt sich komplett austauschen

    Die Apple Airtags lassen sich nicht nur klonen. Forscher können auch beliebige Sounds auf dem Bluetooth-Tracker abspielen.

  2. Netzausbau: Bundesländer wollen dreifach höhere Datenrate
    Netzausbau
    Bundesländer wollen dreifach höhere Datenrate

    Der Bundesrat dürfte dem Recht auf schnelles Internet, wie es die Bundesregierung vorsieht, nicht zustimmen. Die Festlegungen seien "unterambitioniert und nicht zeitgerecht".

  3. Diskriminierung am Arbeitsplatz: Sexismusvorwurf gegen Microsoft-Management
    Diskriminierung am Arbeitsplatz
    Sexismusvorwurf gegen Microsoft-Management

    Ein neuer Bericht wirft CEO Satya Nadella vor, nicht ausreichend gegen Fehlverhalten in seinem Unternehmen vorzugehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /