• IT-Karriere:
  • Services:

Finspy: Neuer Staatstrojaner-Exploit in RTF-Dokument gefunden

Ein verseuchtes Word-Dokument oder eine Spam-E-Mail zu öffnen reicht, um einen aktuellen Exploit in .Net zu triggern. Die Sicherheitslücke soll bereits genutzt worden sein, um Finfisher-Staatstrojaner zu verteilen.

Artikel veröffentlicht am ,
Eine Schwachstelle wird genutzt, um Finfisher-Software aufzuspielen.
Eine Schwachstelle wird genutzt, um Finfisher-Software aufzuspielen. (Bild: Andreas Donath)

Die Sicherheitsfirma Fireeye hat einen Exploit in Microsofts Office-Suite entdeckt, der genutzt wurde, um Spyware der umstrittenen Firma Finfisher auszuliefern. Ziel der aktuellen Kampagne sei vermutlich eine Person oder Behörde in Russland gewesen.

Stellenmarkt
  1. TOPdesk Deutschland GmbH, Kaiserslautern
  2. Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Eschborn

Microsoft hat die Sicherheitslücke mit der Bezeichnung CVE-2017-8759 am aktuellen Patchday geschlossen. Öffnet ein Nutzer ein entsprechend präpariertes RTF-Dokument, kann im Hintergrund Schadcode geladen werden, wenn Nutzer die geschützte Ansicht deaktiveren. Für einen Exploit ist es nicht erforderlich, Makros oder aktive Inhalte bewusst auszuführen. Auch das Öffnen einer Spam-Mail soll den Exploit triggern können.

Fehler liegt nicht in Office selbst

Der Exploit soll nicht in den Kernfunktionen von Microsoft Office liegen, sondern die SOAP-Rendering-Funktionen von .Net betreffen. Dabei bekommt der Rechner des Opfers einen Befehl in der Web-Services-Description-Language (WSDL) von einem Server des Angreifers zugesendet. Der WSDL-Parser des .Net-Frameworks verarbeitet diesen Befehl dann und legt den generierten Sourcecode ab. Dieser wiederum wird dann durch .Net in eine Bibliothek kompiliert und diese von Office geladen. Danach wird ein weiteres Skript heruntergeladen, das die eigentliche Finspy-Malware installiert.

Die Angriffe mit dem Exploit sollen sehr gezielt gewesen sein, also nur wenige Personen betreffen. Microsoft gibt an, dass die ATP-Version von Windows-Defender mehrere solcher Angriffe abwehren konnte. Fireeye geht davon aus, dass das Ziel des Angriffs in Russland gewesen sei. Außerdem gehe man mit "moderater Sicherheit" davon aus, dass ein staatlicher Akteur hinter dem Angriff stehe. Finfisher verkauft nach eigenen Angaben nur an Staaten.

Es ist bereits die zweite Sicherheitslücke dieser Art, die Fireye in diesem Jahr präsentiert. Bereits im April hatte die Organisation gemeinsam mit dem Hacker Claudio Guarnieri einen ähnlichen Exploit demonstriert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Mega-Man 11 für 11,99€, Lost Planet 3 für 3,99€, Barotrauma für 11€)
  2. 21,99€
  3. 49,99€

Folgen Sie uns
       


Sony Playstation 5 - Fazit

Im Video zum Test der Playstation 5 zeigt Golem.de die Hardware und das Dashboard der Konsole von Sony.

Sony Playstation 5 - Fazit Video aufrufen
Moodle: Was den Lernraum Berlin in die Knie zwang
Moodle
Was den Lernraum Berlin in die Knie zwang

Eine übermäßig große Datenbank und schlecht optimierte Abfragen in Moodle führten zu Ausfällen in der Online-Lernsoftware.
Eine Recherche von Hanno Böck


    Antivirus: Das Jahr der unsicheren Sicherheitssoftware
    Antivirus
    Das Jahr der unsicheren Sicherheitssoftware

    Antivirus-Software soll uns eigentlich schützen, doch das vergangene Jahr hat erneut gezeigt: Statt Schutz gibt es Sicherheitsprobleme frei Haus.
    Von Moritz Tremmel

    1. NortonLifeLock Norton kauft deutschen Antivirenhersteller Avira
    2. Sicherheitslücke 28 Antivirenprogramme konnten sich selbst zerstören

    Azure Active Directory: Weniger Verzeichnisdienst, mehr Tresor
    Azure Active Directory
    Weniger Verzeichnisdienst, mehr Tresor

    Microsofts bekannten Verzeichnisdienst Active Directory gibt es inzwischen auch in der Cloud des Herstellers. Golem.de zeigt, wie er dort funktioniert.
    Von Martin Loschwitz

    1. Microsoft Neue Datenschutzregeln für Sprachsteuerung
    2. Microsoft Betrüger erbeuten 20.000 Euro von Rentnerin
    3. Windows 10 20H2 Microsoft hebt Update-Sperre für einige Windows-PCs auf

      •  /