Zero-Day-Exploit: Infektion über Office-Dokumente

Derzeit nutzen Kriminelle eine kritische 0-Day Sicherheitslücke in verschiedenen Versionen von Microsoft Office aktiv, um Malware auf die Systeme der Anwender zu installieren.

Laut den Experten von McAfee werden manipulierte Rich-Text-Dateien (RTF-Dokument) in Form einer Microsoft Worddatei (doc, docx) über Spam-Kampagnen verbreitet. Wird das Dokument vom Anwender geöffnet, startet ein bösartiges in Visual Basic-Skript (VBA) geschriebenes Macro und nimmt Verbindung mit dem C&C Server der Kriminellen auf. Unbemerkt vom Anwender wird eine HTML-Datei getarnt als ausführbare HTA-Datei herunter geladen und automatisch gestartet. Nachdem die Infektion auf dem System verankert ist, übernehmen die Kriminellen volle Kontrolle über das kompromittierte System.

Für die Experten von McAffe und FireEye liegt die Verwundbarkeit in der Windows Object Linking and Embedding – Funktion (OLE). Dort wurden In den letzten Jahren bereits mehrere Schwachstellen identifiziert. Dennoch basiert diese Infektion auf Makros und erfordert für ihre Entfaltung, dass Öffnen eines Word-Dokumentes.

Auch wenn die Methode ein wenig in die Jahre gekommen ist, sind Office-Makro Viren gegenwärtiger als wir denken. Achtung: In der Regel werden Makros manuell vom Anwender ausgeführt! Lesen Sie dazu unseren Beitrag “Mit alter Taktik – Macrobasierte Malware ist zurück

YouTube: SemperVideo zeigt eindrucksvoll, wie einfach es geht, einen Macro-Virus zu erstellen und auszuführen:

Die Sicherheits-Experten weisen darauf hin: Die Sicherheitslücke ist leider nicht auf eine bestimmte Office Version beschränkt. Das Exploit funktioniert auf allen Microsoft Office Versionen, einschließlich dem neuesten Office 2016 auf Windows 10. Microsoft wurde dazu in Kenntnis gesetzt und wird im Rahmen des monatlichen Patchday den Bug beheben.

Wie kann ich meinen Rechner schützen?

  • Öffnen Sie keine Office-Dateien, die Sie nicht von vertrauenswürdigen Quellen erhalten haben.
  • Durch Installation und Aktivierung einer Antiviren-Lösung
  • Stellen Sie sicher, dass Office Protected View aktiviert ist. Im “nur Lesen” Modus können z.B. macrobasierte Infektionen nicht zur Ausführung gelangen.
  • Deaktivieren Sie VBA-Makros in Word, Excel und anderen Anwendungen
  • Mit dem OfficeMalScanner überprüfen Sie Office-Anwendungen auf infizierte Macro-Viren


Wenn Sie nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.

Update: 11.04.2017 – Bislang wurden keine Einzelheiten bzgl. der Infektion veröffentlicht. So berichten jetzt die Experten von Proofpoint in eigenen Blog, dass über das Öffnen der RTF-Datei der Trojaner Didrex auf den Computer installiert wird. Bei Didrex handelt es sich um einen bekannten Banking-Trojaner der u.a. in Verbindung mit dem Necurs-Botnetz steht. Der Banking-Trojaner Didrex sammelt sämtliche persönliche Daten seines Opfers, um letztendlich das Opfer zu betrügen.

Bild: securingtomorrow.mcafee.com