Neuer Angriffsvektor: Eine Funktion innerhalb von Microsoft Word sorgt für erneuten Angriff auf die Benutzer, wobei sich die Quelle des Angriffs jedes Mal verändert.
Cyberkriminelle nutzen ein Feature in Microsoft Word aus, um die Systeme der Nutzer mit Malware zu infizieren. Anstatt wie üblich die Systeme über infizierte Macros mit Malware zu infizieren, ist diese Kompromittierung sehr viel banaler – dennoch sehr effektiv.
So etwas hatte der Experte und SANS ISC-Handler Xavier Mertens noch nicht gesehen. Diesmal wird für den Angriff eine im Worddokument eingebettete Verlinkung genutzt. Neu dabei ist, dass eine Funktion innerhalb von Microsoft Word dafür sorgt, dass jedes Mal wenn das Word-Dokument geöffnet wird, der eingebettete Link, der auf eine externe Quellen zeigt, automatisch aktualisiert und verändert wird.
Selbst kann man den Status der Funktion unter Microsoft Word hier einsehen: Datei – Optionen – Erweitert – Allgemein – “Automatische Verknüpfung beim Öffnen aktualisieren” und ggfls. den Haken entfernen.

Bild: isc.sans.edu

Der Infektionsweg ist eher klassisch. So wurde die Infektion, die im Anhang üblicher Spam-Kampagnen großflächig verteilt wird, von dem Experten Xavier Mertens entdeckt. Die im Anhang befindliche Word-Datei .docx “N_Order # xxxxx.docx” mit 5 Zufallszahlen” wurde bei einer Analyse beim Dienst von Virustotal.com von 12/59 Virenscanner als infiziert deklariert.
Beim Öffnen des Dokumentes wird im Hintergrund versucht, auf eine bösartige RTF-Datei zuzugreifen. Wenn das gelungen ist, wird der eigentliche Payload in Form einer Javascript -Datei geladen, die ein Shell-Objekt erstellt. Laut dem Experten wird hierbei die Sicherheitsanfälligkeit CVE 2017-0199 ausgenutzt, um letztendlich über einen PowerShell-Befehl die bösartige “PE-Netwire RAT” herunterzuladen und auf dem Opfer-System zu starten.
Laut dem Experten Xavier Mertens wird die Link-Aktualisierung ohne Benutzerinteraktion bzw. Sicherheitswarnung des Systems ausgelöst. Auf der anderen Seite zeigt der Malwr-Analyse-Service, dass die Datei die Genehmigung des Opfers benötigt, um das Dokument mit den Daten aus der verknüpften RTF-Datei zu aktualisieren (Bild):

Die Sicherheits-Experten weisen darauf hin: Die Funktion ist leider nicht auf eine bestimmte Office Version beschränkt. Die Ausnutzung der Office-Standardfunktion funktioniert auf allen Microsoft Office Versionen, einschließlich dem neuesten Office 2016 auf Windows 10. Die dabei ausgenutzte Sicherheitslücke CVE 2017-0199 wurde von Microsoft bereits im April geschlossen.

Wie kann ich meinen Rechner schützen?

  • Wie oben bereits beschrieben, ändern Sie den Status in der Funktion unter Microsoft Word: Datei – Optionen – Erweitert – Allgemein – “Automatische Verknüpfung beim Öffnen aktualisieren”
  • Halten Sie das Betriebssystem, sowie alle installierten Programme stets auf dem aktuellsten Stand. Nutzen Sie den von Kaspersky kostenfrei bereitgestellten “Kaspersky Software Updater“.
  • Öffnen Sie keine Office-Dateien, die Sie nicht von vertrauenswürdigen Quellen erhalten haben.
  • Installieren Sie eine Antiviren-Lösung und halten diese immer aktuell und aktiv.
  • Stellen Sie sicher, dass Office Protected View aktiviert ist. Im “nur Lesen” Modus können z.B. macrobasierte Infektionen nicht zur Ausführung gelangen.
  • Deaktivieren Sie VBA-Makros in Word, Excel und anderen Anwendungen
  • Mit dem OfficeMalScanner überprüfen Sie Office-Anwendungen auf infizierte Macro-Viren


Wenn Sie nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.