[datensicherheit.de, 13.04.2020] Microsofts Office-Programme sind die am meisten genutzte Bürosoftware weltweit. Aus diesem Grund stellen sie auch für Cyber-Kriminelle ein beliebtes Mittel dar, um Angriffe auf Organisationen zu starten.

Eine immer häufiger auftretende Methode, mit der Kriminelle versuchen, Schadprogramme auf den Rechnern ihrer Opfer zu installieren, bedient sich der Standardfunktion von Microsoft Excel, schreibgeschützte Dokumente erstellen zu können. Diese kann anscheinend auch für böswillige Zwecke verwendet werden. Hierzu muss beim betreffenden Dokument nur ein Häkchen gesetzt werden und schon ist es „read only“ und verschlüsselt. Ungeachtet dessen kann das Excel-Dokument Makros enthalten, die beim Öffnen ausgeführt werden, ohne ein Passwort eingeben zu müssen. Ein weiterer Vorteil: Ist das Dokument schreibgeschützt, ist es zugleich verschlüsselt. Das Standardpasswort „VelvetSweatshop“ wird von Excel automatisch verwendet, um zunächst zu prüfen, ob es sich um eine schreibgeschützte verschlüsselte Datei oder um eine vollständig gesperrte Datei mit einem vom Benutzer erstellten Passwort handelt. Einmal verschlüsselt, ist der Schadcode, der sich in ihm befindet – etwa ein Malware Dropper – zudem nicht mehr von gängigen Security-Lösungen erkennbar, sodass er ungehindert die meisten Sicherheitsmechanismen passieren kann.

Makros in Excel-Dokumenten enthalten Schadsoftware

Ein Angriff mit einem auf diese Weise verschlüsselten Excel-Dokument findet folgendermaßen statt: Der Cyber-Kriminelle erstellt ein Spreadsheet mit Makro, das schadhaften Code enthält und ausführt, beispielsweise den Trojaner LimeRAT, der nach erfolgreicher Installation weitere Schadsoftware wie Ransomware, Cryptominer etc. nachladen kann. Dieses Dokument schickt der Angreifer an einen Mitarbeiter des Unternehmens, das er angreifen will. Im Vorhinein hat er Informationen über das Unternehmen und die Person gesammelt, um seine Mail glaubhaft und vertrauenswürdig aussehen zu lassen. Denkbar sind hier hierarchische Strukturen des Unternehmens, Events oder auch persönliche Details, die in sozialen Netzwerken geteilt wurden und auf die sich der Angreifer in seiner Phishing-Mail beziehen kann.

Bild: Mimecast

Matthew Gardiner, Director of Enterprise Security Campaigns bei Mimecast

Wenige Aktionen der Opfer nötig, um erfolgreiche Angriffe zu starten

Öffnet der Empfänger das schreibgeschützte, verschlüsselte Dokument, entschlüsselt es sich selbständig und führt das Makro sowie den darin enthaltenen Schadcode sofort aus, ohne Opfer wie gewohnt um Erlaubnis oder ein Passwort fragen zu müssen. Hiermit geht die Installation der Malware einher und das System ist somit kompromittiert. Im Gegensatz zu anderen, auf der Verschlüsselungsfunktion von Excel beruhenden Angriffen sind hier weniger Aktionen seitens des Opfers notwendig, um den Angriff erfolgreich sein zu lassen.

Mitarbeiter sensibilisieren und trainieren

Da diese Angriffsmethode keine Sicherheitslücke bei Excel im eigentlichen Sinne ist, sondern ein gängiges Feature ausnutzt, existiert kein Patch – und es wird auch in Zukunft keinen Patch geben. Unternehmen müssen sich also selbst zu helfen wissen. Diese Schritte können dazu dienen, einer solchen Attacke nicht zum Opfer zu fallen:

• Mitarbeiter für die Gefahren von E-Mail-Anhängen sensibilisieren und trainieren. Obwohl die aktuelle Angriffsmethode wenig Interaktion vom Empfänger fordert, funktioniert sie nicht gänzlich ohne menschliches Zutun: Den Anhang zu öffnen.
• Eine erweiterte E-Mail-Sicherheitslösung nutzen, die über einen ausreichenden Malware-Schutz verfügt, um diese Art von Angriffen abzuwehren. Diese sollte eingehende E-Mails sowohl auf schadhafte Anhänge als auch auf Links hin untersuchen, die zu potentiell gefährlichen Websites führen. Darüber hinaus muss sie eingehende Mails und Dateien sandboxen und somit Schadcode erkennen können.
• Den Netzwerkverkehr auf mögliche Verbindungen zu Command-and-Control-Servern  überwachen.
• Sicherheitssysteme auf allen Endpunkten im Unternehmen auf dem aktuellsten Stand halten, um Malware so früh wie möglich zu erkennen.

Es ist nach Angaben von Mimecast nicht davon auszugehen, dass Angriffe mit der VelvetSweatshop-Methode zurückgehen werden oder dieser Angriffsvektor in nächster Zeit geschlossen werden wird. Umso wichtiger ist es, das eigene Unternehmen bestmöglich vor diese Schwachstelle zu schützen.

Weitere Informationen zum Thema:

datensicherheit.de, 30.08.2018
Mimecast-Bericht zur E-Mail-Sicherheit veröffentlicht

datensicherheit.de, 25.07.2018
Mimecast: Jährlicher State of Email Security Report veröffentlicht

datensicherheit.de, 20.07.2018
Schädliche E-Mails: Neue Erkennungsmethode der Ben-Gurion-Universität

datensicherheit.de, 04.07.2018
Cyber-Security: Viel höhere Budgets für E-Mail Sicherheit notwendig

[datensicherheit.de, 19.06.2019] Die Urheber massenhafter Cyber-Angriffe nutzen meist weit verbreitete Software-Produkte, um mit einfachen Mitteln möglichst viele Computer-Systeme mit Schadsoftware zu infizieren. Aufgrund ihrer großen Verbreitung stehen die Softwareprodukte der Microsoft-Office-Familie daher automatisch im Fokus von Cyber-Kriminellen, um Schwachstellen oder unsichere Konfigurationen von Standardfunktionen der Büro-Software möglichst breit ausnutzen zu können. Beliebte Angriffswege sind dabei die Makro-Funktion in Word-Dokumenten oder aktive HTML-Anzeigen in E-Mail-Programmen. Angriffe mit Ransomware oder mit Schadsoftware-Varianten wie Emotet haben über diese Angriffswege in den letzten Monaten auch in Deutschland zahlreiche Unternehmen getroffen und großen Schaden verursacht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat daher Empfehlungen für eine sichere Konfiguration von Word, Excel, Outlook und Co. entwickelt und nun veröffentlicht. Damit können Organisationen die Angriffsfläche signifikant reduzieren: Die Deaktivierung von HTML in E-Mails sowie der sichere Umgang mit Makros in Dokumenten und anderen Dateien sind dabei nur zwei von zahlreichen Empfehlungen.

„Wir bieten Unternehmen und Organisationen mit diesen Umsetzungsempfehlungen eine konkrete Hilfestellung, um das IT-Sicherheitsniveau ihrer Netzwerke schnell und effizient zu erhöhen. Diese IT-Sicherheitsmaßnahmen sollten idealerweise Teil einer strukturierten Vorgehensweise zur Absicherung der Unternehmensnetzwerke sein, wie sie etwa der IT-Grundschutz des BSI empfiehlt. Die Allianz für Cyber-Sicherheit ist die richtige Anlaufstelle für Unternehmen und Organisationen jeder Größe, um sich über IT-Sicherheit zu informieren, sich mit Gleichgesinnten über Best-Practice-Beispiele auszutauschen und um von der Expertise des BSI zu profitiere“, so BSI-Präsident Arne Schönbohm.

Sieben Sicherheitsempfehlungen für eine sichere Konfiguration von Microsoft Office

Das BSI hat für den Einsatz auf dem Betriebssystem Microsoft Windows sieben Cyber-Sicherheitsempfehlungen für eine sichere Konfiguration von Microsoft Office 2013/2016/2019 erstellt. Diese behandeln zum einen übergreifende Richtlinien für Microsoft Office, zum anderen Richtlinien für sechs häufig genutzte Microsoft Office-Anwendungen:

• Microsoft Access 2013/2016/2019
• Microsoft Excel 2013/2016/2019
• Microsoft Outlook 2013/2016/2019
• Microsoft PowerPoint 2013/2016/2019
• Microsoft Visio 2013/2016/2019
• Microsoft Word 2013/2016/2019

Die Empfehlungen richten sich an mittelgroße bis große Organisationen, in denen die Endsysteme mit Gruppenrichtlinien in einer Active Directory-Umgebung verwaltet werden. Die dahinterliegenden Sicherheitsprinzipien gelten gleichermaßen für kleine Organisationen und Privatanwender. Die dargestellten Empfehlungen können ohne die Beschaffung zusätzlicher Produkte durchgeführt werden und sind mit vergleichsweise wenig Aufwand durchführbar.

Weitere Informationen zum Thema:

datensicherheit.de, 08.06.2019]
Smartphones: BSI warnt erneut vor vorinstallierter Schadsoftware

datensicherheit.de, 03.08.2018
Internet der Dinge: Aufbau sicherer Systeme

datensicherheit.de, 15.05.2019
Windows-Schwachstelle: BSI warnt vor möglichen wurmartigen Angriffen

Ein Kommentar von Jörg von der Heydt, Channel Director DACH bei Skybox Security

[datensicherheit.de, 14.03.2019] Spätestens mit der Einführung der DSGVO hat in Europa eine gewisse Sensibilisierung gegenüber Datenschutz und Sicherheitsrisiken eingesetzt – ob privat oder im beruflichen Umfeld.

Dennoch zeigen europäische Arbeitnehmer weltweit die geringste Disziplin, wenn es um die Cybersicherheit in ihren Unternehmen geht: Studien zeigen, dass ein Großteil der Angestellten sich nicht regelmäßig über IT-Sicherheit Gedanken macht. Ein signifikanter Anteil ist sogar der Auffassung, dass die Prävention von Sicherheitsbedrohungen nicht in seinen Aufgabenbereich falle – obwohl man sich über die rechtlichen Folgen eines Datendiebstahls im Klaren ist. Bei einem Verstoß gegen die DSGVO müssen Unternehmen beispielsweise mit Bußgeldern in Höhe von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes weltweit rechnen.

Daten-Leaks können langfristige, verheerende Folgen für den Ruf eines Unternehmens haben – wie man es beispielsweise bei Giganten wie Facebook beobachten kann. Dabei gibt es einfache Präventionsmaßnahmen, die vor Datendiebstahl schützen.

Microsoft-Office-Schwachstelle CVE-2017-8570

Die kürzlich erneut ausgenutzte Microsoft-Office-Schwachstelle CVE-2017-8570 ist ein gutes Beispiel für einen Exploit, der potenziell dramatische Folgen nach sich ziehen kann – obwohl wirksame und einfache Schutzmöglichkeiten zur Verfügung stehen.

Erstmals war die höchst riskante Sicherheitslücke im Juli 2017 aufgetreten. Obwohl noch im selben Monat ein Patch zur Eliminierung der Bedrohung bereitgestellt worden war, folgten weitere Cyber-Angriffe in den folgenden Monaten: beispielsweise im März 2018 durch Threadkit, eine Hacking Software für Laien.

Auch jetzt noch, im März 2019, wird diese Schwachstelle regelmäßig ausgenutzt. Mittels Formbook Malware, erneut verbreitet über Threadkit, erhalten Hacker Zugriff auf vertrauliche Daten. Gibt der Nutzer zum Beispiel Autorisierungs- und Anmeldeinformationen in ein Webdatenformular ein, werden diese Informationen direkt bei der Eingabe abgerufen, bevor diese überhaupt verschlüsselt und übertragen werden können.

Funktionsweise des Exploits

Die Schwachstelle präsentiert sich in sehr unauffälliger Form, weshalb Nutzer oft ohne weitere Bedenken die kritische Datei öffnen und lange Zeit nicht merken, dass die Malware auf dem PC im Hintergrund läuft.

Der Virus versteckt sich in einer Word-Datei im RTF-Format, die per Mail an den Nutzer gesendet wird – Absender-Adresse und Betreff enthalten Details, die authentisch wirken. Auch die Ansprache ist an die realer Unternehmen angepasst. Beispielsweise kann es sich um die Aufforderung handeln, eine Zahlung zu begleichen.

Klickt der Nutzer auf den Anhang, öffnet und schließt sich die RTF-Datei sofort, als wäre die Word-Anwendung abgestürzt. Tatsächlich aber wird in der Zwischenzeit eine ZIP-Datei heruntergeladen und extrahiert. Darin wird ein zweites vermeintliches Word-Dokument gespeichert, das den Quellcode für Phishing-HTML-Seiten und die Malware-Nutzdaten enthält.

Während sich für den Nutzer nun das erste Word-Dokument öffnet, werden im Hintergrund die Malware-Daten entpackt – so gerät die Anwendung auf den PC. Dass die Malware vertrauliche Daten sammelt, ist nicht zu bemerken.

Schutzmaßnahmen

Eine Möglichkeit, um Bedrohungen wie die Microsoft-Office-Schwachstelle CVE-2017-8570 präventiv zu verhindern, ist denkbar einfach umzusetzen: Sobald Patches zur Verfügung stehen, sollten diese umgehend installiert werden. Beispielsweise stellt der Anbieter Microsoft zum monatlichen Patchday eine Vielzahl von Korrekturauslieferungen vor, mit der Nutzer bekannt gewordene Sicherheitslücken schließen können.

Allerdings hat ein zwei Jahre altes Patch für eine Schwachstelle, die damals als wenig kritisch eingestuft wurde, für IT-Sicherheitsteams wohl kaum Priorität. In Unternehmen, in denen aktuelle Bedrohungsinformationen nicht regelmäßig in die Patch-Priorisierung einbezogen werden, wird diese Schwachstelle vermutlich ungepatcht bleiben. Eine umfassende Schwachstellen-Management-Lösung hilft bei dieser Risikopriorisierung.

Zudem sollten Nutzer beim Öffnen von Anhängen höchste Vorsicht walten lassen, besonders, wenn dieser von einer unbekannten Firma stammt. Als weitere Vorsichtsmaßnahme empfiehlt es sich, nach dem Download des Anhangs den Bearbeitungsmodus und die Makros in Microsoft Word zu deaktivieren – allein das Öffnen der Datei oder das Drücken einer bestimmten Tastenkombination könnten der Impuls für den Start der Malware-Nutzdatei sein.

Weitere Informationen zum Thema:

datensicherheit.de, 30.07.2018
Cyberangriffe durch Office-Dokumente werden häufiger und komplexer

datensicherheit.de, 26.03.2015
Starker Anstieg durch von Office-Makros aktivierter Malware