Neue böse Tricks mit Bürosoftware

Marktführer in Sachen Bürosoftware ist weltweit das amerikanische Unternehmen Microsoft. Kein Wunder, dass potentielle Angreifer besonders gern Lücken in dieser Software nutzen möchten, um möglichst große Wirkung zu erzielen.

Das Wichtigste gleich zu Beginn: Die gute, alte Faustformel “Wenn du bei Microsoft Office die Makros deaktivierst, bist du sicher“ stimmt nicht. Ein kreativer Programmierer mit bösen Absichten kann auch auf anderem Wege aus einem Office-Dokument eine hübsche Falle basteln. Während der Nutzer dann eine Tabellenkalkulation studiert, einen Text in MS Word liest oder eine Bildschirmpräsentation verfolgt, lädt das Dokument heimlich still und leise Schadcode nach und infiziert den Computer.

Seit Oktober 2017 ist bekannt, dass dies auch ohne so genannte Makros geht. Ein Makro ist ein kleines Programm, das in einer Tabellenkalkulation dem Nutzer beispielsweise automatisch komplizierte Rechenoperationen abnehmen kann, die nicht zum normalen Funktionsumfang der Arbeitsprogramme von MS Office gehören. Diese Programmierfunktion kann aber auch verwendet werden, um Schadcode zu laden. Schaltet man diese Erweiterungsmöglichkeit in den Einstellungen ab, so ist man vor Angriffen dieser Sorte einigermaßen geschützt. Microsoft hat allerdings in den vergangenen Jahren seine Betriebssysteme und Arbeitsprogramme um neue Merkmale erweitert. Und wie es oftmals so üblich ist, hat das Unternehmen potentiellen Angreifern dadurch ungewollt neue Türen geöffnet.

DDE in neuem Licht

Eine dieser Türen verbirgt sich hinter dem Kürzel „DDE“. Das steht für Dynamic Data Exchange und ist eigentlich dafür gedacht, Statusmeldungen und Daten zwischen Programmen auszutauschen und diesen sogar zu ermöglichen, gemeinsam Speicherplatz zu nutzen. Das macht agiles Arbeiten möglich, bringt ein gewisses Maß an Flexibilität mit sich – kann aber auch als Sicherheitslücke ausgenutzt werden. Seitdem Cybersecurity-Forscher des Unternehmens Sensepost erstmals auf diese Möglichkeit hingewiesen haben, machten sich Experten der Deutschen Telekom daran, das volle Ausmaß der Gefahr sichtbar zu machen. Sie haben weltweit mehr als 1.800 Fälle untersucht, in denen das DDE-Protokoll missbraucht worden ist. Dabei haben sie beobachtet, wie die Angreifer ihre Technik immer weiter verfeinert und die ihre Strategie geändert haben.

Die Ergebnisse ihrer Studien möchten sie nun zur Verfügung stellen. Nahezu sämtliche der analysierten Proben waren Dokumente, die als Anhang einer E-Mail verteilt worden sind und beim Öffnen schädlichen Code nachgeladen haben. Hauptsächlich ging es der „Gegenseite“ darum, mit so genannter Ransomware den Computer unter ihre Kontrolle zu bekommen, um den Nutzer erpressen zu können. Aber auch Trojaner für Online-Banking konnten entdeckt werden. Dabei haben sie sich oft noch nicht einmal die Mühe gemacht, ihren Angriff zu verschleiern. Stattdessen wurden diese Dokumente lediglich um die DDE-Funktion erweitert und dann verteilt. Handwerklich darf man diese Angriffe dennoch nicht unterschätzen, so die Telekom Experten. In einem Fall wurde sogar je nach Standort des Nutzers eine andere Angriffsstrategie verfolgt, das zeigt eine gewisse Finesse.

Microsoft hat reagiert. Die Nutzer auch?

Nachdem der Hersteller der Software zum Thema DDE zunächst geschwiegen hat, mussten sie aufgrund der hohen Anzahl an Angriffskampagnen mittlerweile Maßnahmen ergreifen. In der Microsoft-Sicherheitsempfehlung 4053440 steht, wie DDE vollständig deaktiviert werden oder zumindest die Auswirkungen bösartiger Dokumente eingeschränkt werden kann. Dennoch scheint DDE momentan die Waffe der Wahl für Angreifer zu sein – bis die Nutzer reagieren.

Hier der vollständige Bericht (pdf, 1,7 MB) der Telekom Experten.