Gratis
7. August 2018 - Technisch-organisatorische Maßnahmen

Office-Dokumente: Gefährdungspotenzial bleibt hoch

Angriffsversuche über besonders präparierte Office-Daten gibt es seit vielen Jahren. Derzeit nehmen allerdings die Versuche von Kriminellen, über solche Dateien Schwachstellen in Unternehmensnetzwerken auszunutzen, wieder zu. Das Bewusstsein für das Problem und Vorbeugung sind deswegen nach wie vor nötig.

Office-Dokumente sind nach wie vor Einfallstor für Angriffe Office-Dokumente sind nach wie vor Einfallstor für Angriffe (Bild: iStock.com / 4X-image)

Der Versuch, mit entsprechend aufbereiteten Office-Dokumenten das System des Anwenders mit Malware zu infizieren, um darüber Lücken im Netzwerk auszunutzen, ist keine neue Erscheinung.

Allerdings scheinen diese Angriffsversuche aktuell eine Renaissance zu erleben. Das zeigen jedenfalls die Erfahrungen von Unit42, der Abteilung für Cybersicherheit des US-Unternehmens Palo Alto Networks, die in einem Blogbeitrag darüber berichtet.

Nutzer öffnen Office-Dokumente häufig unüberlegt

Die Angreifer setzen nach wie vor auf die Erkenntnis, dass Anwender Office-Dateien nahezu bedenkenlos öffnen.

Das gilt selbst dann, wenn diese Dateien von Absendern kommen, die dem Empfänger nicht bekannt sind. Das spricht für eine mangelnde Kenntnis über die potenziellen Gefahren.

Aber auch ein bekannter und vertrauenswürdiger Absender schützt nicht vor Infektionen mit Malware. Denn das System des Absenders könnte ja unentdeckt die Schädlinge versenden.

Potenzielle Angriffsszenarien über Office-Dateien

Die Angriffsversuche über Office-Dateien sind inzwischen sehr vielseitig. Die Kenntnis dieser Szenarien hilft dabei, wirksamen Schutz aufzubauen und vor allen die Anwender im Rahmen von Schulungen über die Risiken aufzuklären.

  • Makros: Das Ausnutzen der in MS-Office integrierten Skript-Engine (Visual Basic for Applications) ist nach wie vor der einfachste Weg für Angreifer, das System des Nutzers zu kompromittieren. Die Skripte können direkt beim Öffnen ausgeführt werden, ohne dass das Opfer eine Aktion ausführen muss. Vorausgesetzt, Makros sind auf dem System des Anwenders aktiviert. Das sollte die Administration aber standardmäßig verhindern. Dann müssen die Nutzer  erst ein Popup-Fenster bestätigen. Außerdem sollten Office-Anwender darauf hingewiesen werden, dass Office-Dateien mit Makros eine abweichende Dateierweiterung (.docm) tragen.
  • Eingebettete Flash-Dateien: In Office-Dokumente lassen sich externe Objekte aus anderen Programmen und Quellen einbetten. Damit ererben die Dateien automatisch auch Schwachstellen dieser Anwendungen. So gab es bereits erfolgreiche Angriffsversuche mittels Flash-Dateien, die in Excel-Dokumente eingebettet wurden und dabei eine Schwachstelle im Flash-Player ausgenutzt haben.
  • Microsoft Formel Editor: Der Formel-Editor (Equation Editor) von Microsoft ist ein Hilfsprogramm für das Zeichnen und Schreiben mathematischer Ausdrücke. Dessen Dateien werden ebenfalls direkt in die Office-Dateien eingebettet. Doch auch auf diesem Weg gab es bereits erfolgreiche Exploit-Versuche. Da der Editor aus Sicht des Betriebssystems und des Office-Programms als eigener Prozess angesehen wird, greifen die im Office-Paket eingebauten Schutzfunktionen nicht.

Schutz nur durch Aufklärung oder durch Spezialprogramme

Umfassenden Schutz vor Angriffsversuchen mittels Office-Dateien bieten Programme, die auf dem System dafür sorgen, dass lediglich legitime und integrierte Prozesse ausgeführt werden.

In Unternehmen, denen eine solche Lösung nicht zur Verfügung steht, sollten die Systeme der Anwender zumindest so konfiguriert sein, dass etwa Makros nicht automatisiert ausgeführt werden.

Zusätzlich könnten Datenschutzbeauftragte und IT-Verantwortliche die Mitarbeiter im Unternehmen durch einen Kurzvortrag, eine Schulung oder ein Rundschreiben auf die Gefahren aufmerksam machen.

Stephan Lamprecht