Neue Windows-Sicherheitslücke: Vorsicht bei Office-Dokumenten von unbekannten Absendern
Trend Micro warnt Anwender vor harmlos erscheinenden Dateien im E-Mail-Anhang
(pressebox) Hallbergmoos, 23.10.2014 - Trend Micro warnt vor einer neuen Zero-Day-Sicherheitslücke in verschiedenen Windows-Versionen. Cyberkriminelle können diese Lücke mittels entsprechend präparierten Office-Dokumenten missbrauchen und die Kontrolle über den infizierten Rechner übernehmen. Anwender sollten daher besondere Vorsicht walten lassen, wenn sie Anhänge mit Office-Dateien von unbekannten Absendern zugeschickt bekommen. Aktuell sind infizierte PowerPoint-Dateien im Umlauf, mit deren Hilfe die Sicherheitslücke ausgenutzt werden kann.
Auf den ersten Blick passiert nichts Ungewöhnliches. Ein Anwender erhält eine E-Mail mit einem Dokument im Anhang. Er versucht, sie durch Klicken zu öffnen und sieht schon einen Teil des Inhalts. Doch bevor er im Dokument navigieren kann, meldet sich Windows mit einer Sicherheitswarnung, ob der Anwender zu diesem Zweck wirklich aktive Inhalte im Dokument erlauben möchte.
"Auch wenn der Anwender die Möglichkeit hat, das Ausnutzen der Sicherheitslücke an der letzten Stelle der Infektionskette durch seine Weigerung zu verhindern, ist die Lücke sehr gefährlich. Denn die meisten Nutzer, die bislang die relativ häufig vorkommende Windows-Sicherheitswarnung mit Ja beantwortet und damit keine schlechten Erfahrungen gemacht haben, dürften versucht sein, einfach aus guter Gewohnheit auch in diesem Fall auf Ja zu klicken", so Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsunternehmen Trend Micro. "Die Anwender sollten deshalb in der nächsten Zeit besonders auf der Hut sein und auf keinen Fall Office-Dokumente öffnen, die ihnen von unbekannten Absendern zugeschickt wurden."
Anders als bei anderen Bedrohungen durch präparierte Dateianhänge muss der Anwender, nachdem er die Windows-Sicherheitswarnung ignoriert hat, keinen zusätzlichen Bearbeitungsschritt im Dokument selbst vollziehen, um die Infektion zum Abschluss zu bringen. Er muss also nicht - wie bei ähnlichen Bedrohungen mit Dateianhängen - zum Beispiel auf eine im Dokument eingebettete Datei oder URL klicken. Umso höher ist folglich das Infektionsrisiko.
Die im Zusammenhang mit der Sicherheitslücke von Trend Micro untersuchten Dateien enthalten ein bösartiges OLE-Objekt (OLE = Object-Linking-and-Embedding). Dieses missbraucht die Windows-Sicherheitslücke, um darüber bösartigen Code mit den Privilegien des angemeldeten Anwenderprofils auszuführen. Für den Administratorenzugang muss der Angreifer ein separates Exploit einsetzen. Außerdem erscheint bei Standard-Settings ein User-Access-Control-Fenster, in dem der Anwender gefragt wird, ob er dem Herausgeber der Software vertrauen und eventuelle Änderungen an Windows akzeptieren will. Grundsätzlich lassen sich für diesen Angriff neben PowerPoint-Dateien sämtliche Dokumentenarten, welche die Einbettung von OLE-Objekten erlauben - wie zum Beispiel alle anderen Office-Formate -, verwenden.
Trend Micro rät zur Installation von verhaltensbasierten Sicherheitslösungen sowie dazu, diese stets aktuell zu halten. Unternehmen sollten über die Implementierungen von Lösungen nachdenken, die Sicherheitslücken virtuell abschirmen können, bis Patches vorhanden sind und eingespielt werden können.
Weitere Informationen
Weitere Informationen zur beschriebenen Sicherheitslücke sind im deutschsprachigen Trend Micro-Blog abrufbar.
Auf den ersten Blick passiert nichts Ungewöhnliches. Ein Anwender erhält eine E-Mail mit einem Dokument im Anhang. Er versucht, sie durch Klicken zu öffnen und sieht schon einen Teil des Inhalts. Doch bevor er im Dokument navigieren kann, meldet sich Windows mit einer Sicherheitswarnung, ob der Anwender zu diesem Zweck wirklich aktive Inhalte im Dokument erlauben möchte.
"Auch wenn der Anwender die Möglichkeit hat, das Ausnutzen der Sicherheitslücke an der letzten Stelle der Infektionskette durch seine Weigerung zu verhindern, ist die Lücke sehr gefährlich. Denn die meisten Nutzer, die bislang die relativ häufig vorkommende Windows-Sicherheitswarnung mit Ja beantwortet und damit keine schlechten Erfahrungen gemacht haben, dürften versucht sein, einfach aus guter Gewohnheit auch in diesem Fall auf Ja zu klicken", so Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsunternehmen Trend Micro. "Die Anwender sollten deshalb in der nächsten Zeit besonders auf der Hut sein und auf keinen Fall Office-Dokumente öffnen, die ihnen von unbekannten Absendern zugeschickt wurden."
Anders als bei anderen Bedrohungen durch präparierte Dateianhänge muss der Anwender, nachdem er die Windows-Sicherheitswarnung ignoriert hat, keinen zusätzlichen Bearbeitungsschritt im Dokument selbst vollziehen, um die Infektion zum Abschluss zu bringen. Er muss also nicht - wie bei ähnlichen Bedrohungen mit Dateianhängen - zum Beispiel auf eine im Dokument eingebettete Datei oder URL klicken. Umso höher ist folglich das Infektionsrisiko.
Die im Zusammenhang mit der Sicherheitslücke von Trend Micro untersuchten Dateien enthalten ein bösartiges OLE-Objekt (OLE = Object-Linking-and-Embedding). Dieses missbraucht die Windows-Sicherheitslücke, um darüber bösartigen Code mit den Privilegien des angemeldeten Anwenderprofils auszuführen. Für den Administratorenzugang muss der Angreifer ein separates Exploit einsetzen. Außerdem erscheint bei Standard-Settings ein User-Access-Control-Fenster, in dem der Anwender gefragt wird, ob er dem Herausgeber der Software vertrauen und eventuelle Änderungen an Windows akzeptieren will. Grundsätzlich lassen sich für diesen Angriff neben PowerPoint-Dateien sämtliche Dokumentenarten, welche die Einbettung von OLE-Objekten erlauben - wie zum Beispiel alle anderen Office-Formate -, verwenden.
Trend Micro rät zur Installation von verhaltensbasierten Sicherheitslösungen sowie dazu, diese stets aktuell zu halten. Unternehmen sollten über die Implementierungen von Lösungen nachdenken, die Sicherheitslücken virtuell abschirmen können, bis Patches vorhanden sind und eingespielt werden können.
Weitere Informationen
Weitere Informationen zur beschriebenen Sicherheitslücke sind im deutschsprachigen Trend Micro-Blog abrufbar.
