[datensicherheit.de, 04.06.2022] Am letzten Mai-Wochenende 2022 soll eine sogenannte Zero-Click-Schwachstelle in „Microsoft Office“ entdeckt worden sein. Diese Sicherheitslücke sei Microsoft bereits im April 2022 von einem Forscher gemeldet worden.

Foto: Tenable

Claire Tills: Nutzer sollten bei Anhängen aus nicht vertrauenswürdigen Quellen immer misstrauisch sein!

Schwachstelle offenbar bereits im April 2022 ausgenutzt worden

„Am Wochenende begannen Security-Forscher, über eine Zero-Day-Schwachstelle für die Remote-Codeausführung (RCE) zu diskutieren, die über ,Microsoft Office‘-Dokumente ausgenutzt werden kann, einem bevorzugten Angriffsvektor“, berichtet Claire Tills, „Senior Research Engineer“ bei Tenable, in ihrer aktuellen Stellungnahme.

Am 30. Mai 2022 habe Microsoft einige offizielle Details zu „CVE-2022-30190“ veröffentlicht und darauf hingewiesen, dass diese RCE-Schwachstelle „Microsoft Windows Diagnostic Tools“ betreffe, habe aber keine Patches veröffentlicht. Indes habe Microsoft eine Empfehlung zur Schadensbegrenzung gegeben.

Diese RCE scheine bereits im April 2022 ausgenutzt worden zu sein und habe erst kürzlich breite öffentliche Aufmerksamkeit erlangt, nachdem ein Forscher begonnen habe, ein schädliches Sample auf „VirusTotal“ zu untersuchen.

Schwachstelle ein Zero-Click-Exploit – keine Benutzerinteraktion erforderlich

Tills führt aus: „Im Laufe des Wochenendes reproduzierten mehrere Forscher das Problem und stellten fest, dass es sich um einen ‚Zero-Click‘-Exploit handelt, was bedeutet, dass keine Benutzerinteraktion erforderlich ist.“

In Anbetracht der Ähnlichkeiten zwischen „CVE-2022-30190“ und „CVE-2021-40444“ sowie der Vermutung, dass auch andere „Protokoll-Handler“ anfällig sein könnten, erwarte man weitere Entwicklungen und Ausnutzungsversuche dieser Schwachstelle.

„Da es sich um einen ,Zero-Click‘-Exploit handelt, kann der einzelne Benutzer nicht viel tun, aber eine gesunde Portion Skepsis ist sehr hilfreich“, empfiehlt Tills. Nutzer sollten bei Anhängen aus nicht vertrauenswürdigen Quellen immer misstrauisch sein, so ihr Rat.

Weitere Informationen zum Thema:

Microsoft
Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability / CVE-2022-30190

[datensicherheit.de, 03.12.2020] Christoph M. Kumpa, „Director DACH & EE“ bei Digital Guardian, geht in seiner aktuellen Stellungnahme auf „Best Practices“ zum Schutz vor Makro-Malware ein. Diese habe mit dem Aufkommen ausgefeilter Social-Engineering-Taktiken und der Popularität von Makro-Programmen ein Comeback erlebt. Für Cyber-Kriminelle seien vor allem „Microsoft Office“-Makros aufgrund der enorm großen Nutzerbasis ein attraktives Ziel. Häufig nutze Makro-Malware die „VBA“-Programmierung (Visual Basic for Applications) in „Microsoft Office“-Makros, um Viren, Würmer und andere Formen von Schadware zu verbreiten, und stelle damit ein „erhebliches Risiko für die Unternehmenssicherheit“ dar, warnt Kumpa.

Bild: Digital Guardian

Christoph M. Kumpa: Makro-Malware erhebliches Risiko für Unternehmenssicherheit

Makro – eine kurze Erklärung

„Ein Makro (kurz für „macroinstruction“, wörtlich etwa ,Groß-Befehl‘ vom griechischen ,makros‘ für ,groß‘) sei eine Kette von Befehlen, die Anwendungen wie ,Excel‘ und ,Word‘ anweisen, bestimmte Aktionen auszuführen“, erinnert Kumpa.
Makros bündelten mehrere kleinere Instruktionen in einem Befehl und ließen diese gemeinsam ablaufen. Dadurch werde die Funktionalität der Anwendung verbessert, indem wiederkehrende Abläufe beschleunigt würden.

Makros sind Programme und könnten von Malware-Autoren kompromittiert werden

Kumpa verdeutlicht: „Da es sich bei Makros um Programme handelt, können sie wie jedes andere Programm potenziell von Malware-Autoren kompromittiert werden.“ Makro-Viren seien in derselben Makro-Sprache geschrieben, die auch für Software-Programme verwendet werde – einschließlich „Microsoft Word“ oder „Excel“.
Für einen Makro-Malware-Angriff erstellten Cyber-Kriminelle häufig bösartigen Code und betteten diesen in Makros von Dokumenten ein, welche als Anhänge in Phishing-E-Mails verbreitet werden könnten. Kumpa unterstreicht: „Sobald das Opfer den Anhang öffnet, können die darin enthaltenen Makros ausgeführt werden – und die Malware beginnt alle Dateien zu infizieren, die mit ,Microsoft Office‘ geöffnet werden.“ Diese Fähigkeit, sich rasch zu verbreiten, sei eine der Hauptrisiken von Makro-Malware.

Auch Schadsoftware Emotet nutzt häufig Makros

Makro-Viren könnten schädliche Funktionen aufrufen, beispielsweise die Veränderung des Inhalts von Textdokumenten oder die Löschung von Dateien. Die Schadsoftware „Emotet“ nutze zudem häufig Makros, um sich Zugang zum Netzwerk zu verschaffen. „Im nächsten Schritt lädt sie zusätzliche Module wie Banking-Trojaner, Password-Stealer oder Ransomware nach.“
Manche Makro-Viren griffen auch auf E-Mail-Konten des Opfers zu und sendeten Kopien der infizierten Dateien an alle Kontakte, die wiederum diese Dateien häufig öffneten, da sie von einer vertrauenswürdigen Quelle stammten.

Vermeidung von Makro-Malware-Infektionen erfordert richtige Identifizierung von Phishing-E-Mails

Werden Makros in einer „Microsoft Office“-Datei nicht ausgeführt, könne die Malware das Gerät nicht infizieren. „Die größte Herausforderung bei der Vermeidung von Makro-Malware-Infektionen liegt in der richtigen Identifizierung von Phishing-E-Mails“, berichtet Kumpa. Bei folgenden Punkten sei Vorsicht geboten:

• E-Mails von unbekannten Absendern
• E-Mails mit Rechnungen oder angeblich vertraulichen Informationen im Anhang
• Dokumente, die keine Vorschau bieten, bevor Makros aktiviert werden
• Dokumente, deren Makro-Prozesse verdächtig aussehen

Christoph M. Kumpa nennt Best Practices zum Schutz vor Makro-Malware

Der beste Weg, die Bedrohung durch Makro-Malware zu eliminieren, sei die Reduzierung der Interaktion zwischen Malware und einem Gerät. Unternehmen sollten eine Kombination aus den folgenden Techniken nutzen, um ihre Verteidigung gegen Makro-Malware-Angriffe zu stärken:

1. Verwendung eines Spam/Junk-Filters sowie Phishing-Schutzes
   Je weniger Phishing-E-Mails den Posteingang erreichten, desto geringer sei die Wahrscheinlichkeit eines Makro-Malware-Angriffs. Neben dem klassischen Spam-Filter gebe es spezielle Phishing-Schutz-Technologien, welche auf Basis von „Machine Learning“ (ML) auch ausgefeilte Spear-Phishing-Angriffe erkennen könnten. Kumpa: „Diese Lösungen erlernen das normale Kommunikationsverhalten innerhalb eines Unternehmens und schlagen bei Anomalien Alarm.“
2. Verwendung eines starken Antiviren-Programms
   Antiviren-Software könne eine Warnmeldung senden, wenn ein Benutzer versucht, einen bösartigen Link zu öffnen oder eine verdächtige Datei herunterzuladen.
3. Anhänge von unbekannten Absendern ungeöffnet lassen
   „Wenn Nutzer den Absender einer E-Mail nicht kennen, sollten sie keine Anhänge öffnen, auch wenn die E-Mail auf persönliche Informationen verweist oder behauptet, es handle sich um eine unbezahlte Rechnung“, betont Kumpa.
4. Auch Vorsicht bei Anhängen in verdächtigen E-Mails bekannter Absender
   Durch die Umkehrung des Codes der bösartigen Datei könnten Sicherheitsexperten verschlüsselte, durch das Sample gespeicherte Daten decodieren, die Logik der Datei-Domain bestimmen sowie andere Fähigkeiten der Datei anzeigen lassen, „die während der Verhaltensanalyse nicht angezeigt wurden“. Um den Code manuell umzukehren, würden Malware-Analyse-Tools wie „Debugger“ und „Disassembler“ benötigt.
5. Prüfung vor Ausführung, welche Prozesse ein Makro steuert
   Wenn der Makro-Befehl bösartige Aktionen auszuführen scheint, sollten keine Makros aktiviert werden.

Abwehr von Makro-Malware nicht allein technisch – auch Schulungen empfohlen

„Da viele Nutzer zwar mit dem Begriff Makro-Malware vertraut sind, aber eventuell nicht wissen, wie sie diese identifizieren können, sollten Unternehmen zudem ihre Mitarbeiter durch regelmäßige Schulungen aufklären, wie sie mögliche Bedrohungen, insbesondere im Bereich ,Social Engineering‘, erkennen können“, empfiehlt Kumpa.
Ein erhöhtes Nutzerbewusstsein über die Gefahren von Makro-Viren trage dazu bei, die Unternehmenssicherheit maßgeblich zu stärken und erfolgreiche Makro-Malware-Angriffe zu minimieren.

Weitere Informationen zum Thema:

datensicherheit.de, 28.07.2020
Bösartige Dateianhänge: Emotet erinnert wieder an die Gefahr / Angesichts neuer Emotet-Welle warnt REDDOXX vor Makros in E-Mails

datensicherheit.de, 13.04.2020
VelvetSweatshop: Microsoft Office-Programme beliebtes Mittel zum Start von Cyberangriffen / Microsoft-Excel-Tabellenverschlüsselung immer beliebter bei der Auslieferung von LimeRat Malware

datensicherheit.de, 26.03.2015
Starker Anstieg durch von Office-Makros aktivierter Malware / Carsten Pinnow im Interview mit Noam Green, Check Point Software Technologies

[datensicherheit.de, 30.07.2018] Auf Office-Dokumenten basierende Cyberangriffe sind seit über einem Jahrzehnt ein gängiger Angriffsvektor. In letzter Zeit treten sie jedoch häufiger auf und werden zudem komplexer, wie Palo Alto Networks heute meldet. Dieser Anstieg kann darauf zurückzuführen sein, dass die Verwendung von Browser-Exploits aufgrund der von den Browserentwicklern vorgenommenen Sicherheitsmaßnahmen schwieriger wird. Die Angreifer machen sich zunutze, dass viele Menschen fast jedes Office-Dokument öffnen, sogar solche aus einer nicht vertrauenswürdigen Quelle. Cyberangreifer setzen daher häufig auf diese Dateien, um ein System zu kompromittieren.

Know-how zur Abwehr notwendig

Entscheidend ist es daher, dass Unternehmen wissen, wie sie sich gegen diese gängigen Techniken verteidigen können. Unit 42, die Anti-Malware-Abteilung von Palo Alto Networks, zeigt fünf verschiedene Möglichkeiten auf, wie Office-Dokumente unterwandert und missbraucht werden können, um einen Windows-Endpunkt anzugreifen und zu kompromittieren.

1. Makros
   Makros sind der einfachste Weg für einen Angreifer, um Office-Dokumente zu „bewaffnen“. Office-Anwendungen haben eine eingebaute Script-Engine, die VBA-Scripts (Visual Basic for Applications) ausführen kann. Diese Scripts können sofort beim Öffnen des Dokuments ausgeführt werden, ohne dass ein Benutzer eingreifen muss (vorausgesetzt, Makros sind aktiviert) und bösartigen Code auf dem System ausführen. Wenn keine Makros aktiviert sind, erscheint ein Popup-Fenster, in dem der Benutzer aufgefordert wird, dieses anzuklicken. Dies ist einer von mehreren Sicherheitsmechanismen, die von Microsoft hinzugefügt wurden, um das Sicherheitsrisiko von Makros zu minimieren. Microsoft hat auch eine andere Dateierweiterung (.docm statt.docx für neue Dokumente mit Makros) eingeführt.
   Trotz dieser Maßnahmen entscheiden sich die Benutzer oftmals immer noch dafür, diese Dateien zu öffnen und ihren Inhalt zu aktivieren. Deshalb können Makros weiterhin ein gängiger Angriffsvektor sein, sowohl bei einfacheren, großflächigen Ransomware-Angriffen wie Emotet als auch bei komplexen Angriffen wie der Sofacy-Kampagne
2. Eingebettete Flash-Dateien
   Zusätzlich zu den integrierten Funktionen, wie Makros, können in Office-Dokumente auch externe Objekten, wie z.B. Adobe Flash-Dateien, eingebettet werden. So kann jede Schwachstelle, die die Software aufweist, auch ausgenutzt werden kann, indem sie in den Adobe Flash-Inhalt im Office-Dokument eingebettet wird. Ein Beispiel für einen solchen Angriffsvektor ist CVE-2018-4878, eine Zero-Day-Bedrohung im Adobe Flash Player, durch das Einbetten von bösartigen SWF-Dateien in Excel-Dokumente. Bei solchen Angriffen enthält das schadhafte Excel-Dokument eingebettete Adobe Flash-Inhalte, die die Flash-Schwachstelle auslösen und eingebetteten Shellcode ausführen können.
3. Microsoft Equation Editor
   Ähnlich wie beim Einbetten von Adobe Flash-Dateien in ein Office-Dokument lassen sich auch Gleichungen in Dokumente einbetten, die von Microsoft Equation Editor, ein Programm zum einfachen Schreiben mathematischer Gleichungen, analysiert werden. Die Schwachstellen können durch den Einsatz von bösartigen Office-Dokumenten ausgenutzt werden. Ein aktuelles Beispiel ist CVE-2017-11882, das den Weg zu anderen Exploits wie CVE-2018-0802 ebnete, die Fehler im Equation Editor ausnutzen. Wenn Benutzer ein Office-Dokument öffnen, können Angreifer den Schadcode dann ferngesteuert ausführen.
   Da der Microsoft Equation Editor als eigener Prozess (eqnedt32.exe) ausgeführt wird, sind Microsoft Office-spezifische Schutzfunktionen wie EMET und Windows Defender Exploit Guard standardmäßig nicht wirksam, da sie nur Microsoft Office-Prozesse (wie winword.exe) schützen.
4. OLE-Objekte & HTA-Handler
   OLE-Objekte & HTA-Handler sind Mechanismen, die von Office-Dokumenten verwendet werden, um Verweise auf andere Dokumente in ihren Inhalt aufzunehmen. Sie können verwendet werden, um einen Endpunkt wie folgt zu kompromittieren:
   • Ein Microsoft-Word-Dokument wird mit einem OLE2-eingebetteten Link-Objekt eingebettet.
   • Sobald das Dokument geöffnet ist, sendet der Word-Prozess (winword.exe) eine HTTP-Anfrage an einen Remote-Server, um eine HTA-Datei mit einem bösartigen Script abzurufen.
   • Winword.exe sucht dann den Datei-Handler für application/hta über ein COM-Objekt, wodurch die Microsoft HTA-Anwendung (mshta.exe) das schädliche Skript lädt und ausführt.

   Diese Funktionalität wurde bei der Ausnutzung von CVE-2017-0199, ene Schwachstelle in der Microsoft Office/WordPad Remote Code Execution (RCE), die von Microsoft im September 2017 gepatcht wurde, in mehreren Kampagnen wie dieser OilRig-Kampagne eingesetzt.
   Eine logische Sicherheitslücke, bekannt als as CVE-2018-8174, ermöglicht es Angreifern, beliebigen HTML/JavaScript/VBScript auszuführen. Dieser Fehler kann verwendet werden, um andere Schwachstellen, wie eine UAF-Schwachstelle in der VBScript-Engine, auszunutzen, um beliebige Codeausführung im Kontext der Word-Anwendung (winword.exe) und die Kontrolle über das System zu ermöglichen.

5. Prävention
   Multi-Methoden-Endpunktschutz, der nicht signaturbasiert ist, bietet verschiedene Methoden der Malware- und Exploit-Prävention zum Schutz vor diesen Bedrohungen:
   • Makro-Überprüfung: Intelligenter Endpunktschutz untersucht jedes Office-Dokument auf die Existenz bösartiger Makros, indem es sowohl die WildFire-Bedrohungsanalyse-Cloud als auch lokale, auf maschinellem Lernen basierende Funktionen nutzt und verhindert, dass bösartige Dateien überhaupt vom Benutzer geöffnet werden.
   • Exploit-Prävention: Mit den umfassenden Exploit-Präventionsfunktionen wird verhindert, dass bösartiger Shellcode auf dem angegriffenen Endpunkt erfolgreich ausgeführt wird.
   • Multi-Methoden-Endpunkschutz überwacht standardmäßig Office-Anwendungen und stellt sicher, dass legitime, integrierte Prozesse nicht für bösartige Abläufe genutzt werden.

Weitere Informationen zumThema:

datensicherheit.de, 24.07.2018
Pentester finden gravierende IT-Sicherheitsschwachstellen in Unternehmen

datensicherheit.de, 11.07.2018
USB-Laufwerke: Palo Alto Networks warnt vor eingeschleustem Trojaner

datensicherheit.de, 06.12.2017
Studie von Palo Alto Networks: IT-Manager im Gesundheitswesen setzen auf Cyber-Sicherheit

datensicherheit.de, 08.11.2017
EU-DSGVO: Palo Alto Networks untersuchte Kommunikationsprobleme in Unternehmen