Bürosoftware: Angriff durch Office-Dokumente ohne Makros

Ein Angriff auf Microsofts Office-Suite setzt nicht auf vom Nutzer auszuführende Makros, sondern nutzt eine Sicherheitslücke in der Funktion Windows Object Linking and Embedding. Microsoft hat das entsprechende Update am Patch Tuesday freigegeben.

Artikel veröffentlicht am ,
Derzeit gibt es aktive Angriffe gegen Office-Nutzer - ohne Makros.
Derzeit gibt es aktive Angriffe gegen Office-Nutzer - ohne Makros. (Bild: Microsoft)

Mirosoft hat im Rahmen des Patch Tuesday eine kritische Sicherheitslücke in Office-Anwendungen geschlossen. Damit war es Angreifern möglich, mit einem manipulierten Dokument Rechner zu übernehmen. Anders als in vielen anderen Fällen ist es für den Angriff nicht notwendig, Nutzer zum Ausführen von Makros zu bewegen. Die Schwachstelle lag in der Funktion Windows Object Linking and Embedding (OLE).

Stellenmarkt
  1. Spezialist*in als Digitalisierungspartner*in im Landesbüro
    Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Kiew (Ukraine)
  2. Leiter IT-Infrastruktur/IT-Architek- tur (m/w/d)
    DRK-Blutspendedienst Baden-Württemberg - Hessen gem. GmbH, Baden-Baden
Detailsuche

Wenn Nutzer ein entsprechend präpariertes Dokument öffnen, wird im Hintergrund eine HTML-Applikation (HTA) heruntergeladen, die sich als RTF-Dokument tarnt. Die Applikation führt dabei ein Skript aus, mit dem weitere Malware nachgeladen wird. Der vom Nutzer ursprünglich geöffnete Prozess winword.exe wird nach Angaben von Fireeye beendet, um die Aktivitäten der Malware zu verschleiern.

Meist keine Nutzerinteraktion erforderlich

Die Malware produziert offenbar auf manchen Systemen eine Warnmeldung, eine Interaktion der Nutzer sei jedoch nicht erforderlich, wie Proofpoint schreibt. In einigen Versionen von Word müssen Nutzer die Schaltfläche "Bearbeitung aktivieren" anklicken, bevor die Malware läuft. Die Hürde dürfte jedoch deutlich geringer sein als die Aktivierung von Makros.

Betroffen sind nach Angaben von Microsoft "alle unterstützten Office-Versionen und einige Windows-Versionen". Wer die eigenen Systeme checken will, findet die Indicators of Compromise hier.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Mobile Device Management mit Microsoft Intune
    22.-23. November 2021, online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Nach Angaben der Sicherheitsfirma Proofpoint wird ein entsprechender Exploit im Rahmen der Dridex-Botnetz-Kampagne genutzt. Die infizierten Rechner sollen an ein Botnetz mit dem Namen "Botnet 7500" angeschlossen werden. Welche Aktivitäten das Botnetz ausführt, sagt Proofpoint nicht. Historisch betrachtet war Dridex vor allem im Bankenbereich aktiv.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Datenleck
Daten von 106 Millionen Thailand-Reisenden geleakt

In einer ungeschützten Datenbank fanden sich die Daten der Thailand-Reisenden aus den letzten zehn Jahren - inklusive Reisepassnummern.

Datenleck: Daten von 106 Millionen Thailand-Reisenden geleakt
Artikel
  1. Online-Shopping: Ebay Kleinanzeigen führt SMS-Verifizierung ein
    Online-Shopping
    Ebay Kleinanzeigen führt SMS-Verifizierung ein

    Wie angekündigt, beginnt Ebay Kleinanzeigen mit der Abfrage von Rufnummern. Zu Beginn ist es optional, schon bald wird es Pflicht.

  2. Eli Zero: Kleines E-Auto mit Türen und Fenstern kostet 12.000 Euro
    Eli Zero
    Kleines E-Auto mit Türen und Fenstern kostet 12.000 Euro

    Das minimalistische, vierrädrige Elektroauto Eli Zero soll für rund 12.000 Euro nach Europa kommen. Der Zweisitzer erinnert an den Smart.

  3. Unter 100 MBit/s: Bundesland fürchtet Graue-Flecken-Förderung zu verpassen
    Unter 100 MBit/s
    Bundesland fürchtet Graue-Flecken-Förderung zu verpassen

    Sachsen will mehr FTTH, gerade für ländliche Regionen. Doch der Wirtschaftsminister befürchtet, dass andere Bundesländer schneller sind.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 23,8" FHD 144Hz 166,90€ • PS5 bei Amazon zu gewinnen • Gaming-PC mit Ryzen 5 & RTX 3060 999€ • Corsair MP600 Pro 1TB mit Heatspreader PS5-kompatibel 162,90€ • Alternate (u. a. Asus WLAN-Adapter PCIe 24,90€) • MM-Prospekt (u. a. Asus TUF 17" i5 RTX 3050 1.099€) [Werbung]
    •  /