Branche, Gastbeiträge - geschrieben von cp am Donnerstag, März 14, 2019 21:49 - noch keine Kommentare
Cyber-Angriffe: Trägheit bei IT-Security macht Microsoft-Office-Schwachstelle zum Einfallstor
Schwachstelle CVE-2017-8570 und mögliche Lösungsansätze
Ein Kommentar von Jörg von der Heydt, Channel Director DACH bei Skybox Security
[datensicherheit.de, 14.03.2019] Spätestens mit der Einführung der DSGVO hat in Europa eine gewisse Sensibilisierung gegenüber Datenschutz und Sicherheitsrisiken eingesetzt – ob privat oder im beruflichen Umfeld.
Dennoch zeigen europäische Arbeitnehmer weltweit die geringste Disziplin, wenn es um die Cybersicherheit in ihren Unternehmen geht: Studien zeigen, dass ein Großteil der Angestellten sich nicht regelmäßig über IT-Sicherheit Gedanken macht. Ein signifikanter Anteil ist sogar der Auffassung, dass die Prävention von Sicherheitsbedrohungen nicht in seinen Aufgabenbereich falle – obwohl man sich über die rechtlichen Folgen eines Datendiebstahls im Klaren ist. Bei einem Verstoß gegen die DSGVO müssen Unternehmen beispielsweise mit Bußgeldern in Höhe von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes weltweit rechnen.
Daten-Leaks können langfristige, verheerende Folgen für den Ruf eines Unternehmens haben – wie man es beispielsweise bei Giganten wie Facebook beobachten kann. Dabei gibt es einfache Präventionsmaßnahmen, die vor Datendiebstahl schützen.
Microsoft-Office-Schwachstelle CVE-2017-8570
Die kürzlich erneut ausgenutzte Microsoft-Office-Schwachstelle CVE-2017-8570 ist ein gutes Beispiel für einen Exploit, der potenziell dramatische Folgen nach sich ziehen kann – obwohl wirksame und einfache Schutzmöglichkeiten zur Verfügung stehen.
Erstmals war die höchst riskante Sicherheitslücke im Juli 2017 aufgetreten. Obwohl noch im selben Monat ein Patch zur Eliminierung der Bedrohung bereitgestellt worden war, folgten weitere Cyber-Angriffe in den folgenden Monaten: beispielsweise im März 2018 durch Threadkit, eine Hacking Software für Laien.
Auch jetzt noch, im März 2019, wird diese Schwachstelle regelmäßig ausgenutzt. Mittels Formbook Malware, erneut verbreitet über Threadkit, erhalten Hacker Zugriff auf vertrauliche Daten. Gibt der Nutzer zum Beispiel Autorisierungs- und Anmeldeinformationen in ein Webdatenformular ein, werden diese Informationen direkt bei der Eingabe abgerufen, bevor diese überhaupt verschlüsselt und übertragen werden können.
Funktionsweise des Exploits
Die Schwachstelle präsentiert sich in sehr unauffälliger Form, weshalb Nutzer oft ohne weitere Bedenken die kritische Datei öffnen und lange Zeit nicht merken, dass die Malware auf dem PC im Hintergrund läuft.
Der Virus versteckt sich in einer Word-Datei im RTF-Format, die per Mail an den Nutzer gesendet wird – Absender-Adresse und Betreff enthalten Details, die authentisch wirken. Auch die Ansprache ist an die realer Unternehmen angepasst. Beispielsweise kann es sich um die Aufforderung handeln, eine Zahlung zu begleichen.
Klickt der Nutzer auf den Anhang, öffnet und schließt sich die RTF-Datei sofort, als wäre die Word-Anwendung abgestürzt. Tatsächlich aber wird in der Zwischenzeit eine ZIP-Datei heruntergeladen und extrahiert. Darin wird ein zweites vermeintliches Word-Dokument gespeichert, das den Quellcode für Phishing-HTML-Seiten und die Malware-Nutzdaten enthält.
Während sich für den Nutzer nun das erste Word-Dokument öffnet, werden im Hintergrund die Malware-Daten entpackt – so gerät die Anwendung auf den PC. Dass die Malware vertrauliche Daten sammelt, ist nicht zu bemerken.
Schutzmaßnahmen
Eine Möglichkeit, um Bedrohungen wie die Microsoft-Office-Schwachstelle CVE-2017-8570 präventiv zu verhindern, ist denkbar einfach umzusetzen: Sobald Patches zur Verfügung stehen, sollten diese umgehend installiert werden. Beispielsweise stellt der Anbieter Microsoft zum monatlichen Patchday eine Vielzahl von Korrekturauslieferungen vor, mit der Nutzer bekannt gewordene Sicherheitslücken schließen können.
Allerdings hat ein zwei Jahre altes Patch für eine Schwachstelle, die damals als wenig kritisch eingestuft wurde, für IT-Sicherheitsteams wohl kaum Priorität. In Unternehmen, in denen aktuelle Bedrohungsinformationen nicht regelmäßig in die Patch-Priorisierung einbezogen werden, wird diese Schwachstelle vermutlich ungepatcht bleiben. Eine umfassende Schwachstellen-Management-Lösung hilft bei dieser Risikopriorisierung.
Zudem sollten Nutzer beim Öffnen von Anhängen höchste Vorsicht walten lassen, besonders, wenn dieser von einer unbekannten Firma stammt. Als weitere Vorsichtsmaßnahme empfiehlt es sich, nach dem Download des Anhangs den Bearbeitungsmodus und die Makros in Microsoft Word zu deaktivieren – allein das Öffnen der Datei oder das Drücken einer bestimmten Tastenkombination könnten der Impuls für den Start der Malware-Nutzdatei sein.
Weitere Informationen zum Thema:
datensicherheit.de, 30.07.2018
Cyberangriffe durch Office-Dokumente werden häufiger und komplexer
datensicherheit.de, 26.03.2015
Starker Anstieg durch von Office-Makros aktivierter Malware
Aktuelles, Experten - Mai 6, 2024 16:22 - noch keine Kommentare
DSK-Orientierungshilfe für Unternehmen und Behörden zum datenschutzkonformen KI-Einsatz
weitere Beiträge in Experten
- eco-Stellungnahme zum Verschlüsselungsverbot – praktisch nicht umsetzbar und Verstoß gegen Grundrechte
- Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt
- Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
Aktuelles, Branche - Mai 7, 2024 18:13 - noch keine Kommentare
Cyber Resilience Act: Verstöße können Unternehmen CE-Kennzeichnung kosten
weitere Beiträge in Branche
- Phishing-Angriffe auf Automobilbranche: 54 Prozent der Unternehmen betroffen
- Faktor Mensch bleibt der am häufigsten genutzte Angriffsvektor
- NIS-2: Verpasste Chance oder Wegweiser für mehr IT-Sicherheit
- Soziale Medien: Booster oder Cyber-Achillesferse für Politiker
- DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren