{"id":94624,"date":"2018-11-19T05:13:54","date_gmt":"2018-11-19T13:13:54","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=94624"},"modified":"2018-11-19T05:13:54","modified_gmt":"2018-11-19T13:13:54","slug":"bedrohungsbeschreibung-office-dateien-koennen-gefaehrlich-sein-doch-wir-nutzen-sie-trotzdem","status":"publish","type":"post","link":"https:\/\/origin-researchcenter.paloaltonetworks.com\/blog\/2018\/11\/bedrohungsbeschreibung-office-dateien-koennen-gefaehrlich-sein-doch-wir-nutzen-sie-trotzdem\/?lang=de","title":{"rendered":"Bedrohungsbeschreibung: Office-Dateien k\u00f6nnen gef\u00e4hrlich sein (doch wir nutzen sie trotzdem)"},"content":{"rendered":"

Fast jeder von uns nutzt Microsoft Office-Dokumente, bei der Arbeit oder zumindest, wenn eine papierlose Rechnung oder der neue Mietvertrag kommt. Office-Dokumente sind n\u00fctzlich, und deshalb ist die Wahrscheinlichkeit hoch, dass wir ein als E-Mail-Anhang erhaltenes Office-Dokument \u00f6ffnen. Auch Cyberkriminelle wissen, dass viele von uns so gut wie jedes Dokument \u00f6ffnen, selbst wenn wir den Absender nicht kennen. Deshalb missbrauchen sie Office-Dokumente oft als Angriffsvektoren.<\/p>\n

Der vorliegende Kurzbericht zeigt f\u00fcnf verschiedene Methoden auf, mit denen Office-Dokumente f\u00fcr Angriffe auf einen Windows-Endpunkt missbraucht werden k\u00f6nnen. \u00dcber einige haben wir bereits berichtet, andere sind neu.<\/p>\n

 <\/p>\n

Makros<\/strong><\/p>\n

Makros sind die direkteste Methode f\u00fcr den Missbrauch von Office-Dokumenten. Office-Anwendungen haben eine integrierte Skript-Engine zur Ausf\u00fchrung von VBA-Skripten (Visual Basic for Applications). Wenn der Benutzer die Ausf\u00fchrung von Makros aktiviert hat, k\u00f6nnen diese Skripte beim \u00d6ffnen des Dokuments sofort und ohne menschliches Zutun gestartet werden und Schadcode auf dem System des Benutzers ausf\u00fchren. Wenn der Benutzer Makros nicht aktiviert hat, erscheint ein Popup-Fenster, in dem er dazu aufgefordert wird. Diese Aufforderung ist einer von mehreren Sicherheitsmechanismen, mit denen Microsoft versucht, das von Makros ausgehende Sicherheitsrisiko zu senken. Microsoft kennzeichnet neue Dokumente, die Makros enthalten, auch zwangsweise mit der Dateiendung .docm (statt .docx). Trotz dieser Ma\u00dfnahmen gibt es nach wie vor Benutzer, die diese Dateien dennoch \u00f6ffnen und das Ausf\u00fchren von Makros aktivieren. Daher sind Makros weiterhin ein beliebter Angriffsvektor, sowohl f\u00fcr breit gestreute, technisch eher primitive Angriffe zur Verbreitung von Ransomware wie beispielsweise Emotet<\/a><\/u> als auch f\u00fcr ausgefeilte Angriffe wie diese Sofacy-Kampagne<\/a><\/u>.<\/p>\n

\"\"<\/span><\/div><\/p>\n

Abbildung\u00a01: Das Sofacy-Dokument vor und nach der Aktivierung des Inhalts<\/p>\n

Wie Sie in diesem Beispiel sehen, nutzen die Angreifer Social-Engineering-Tricks, um ihre Opfer dazu zu bringen, die von Microsoft eingebauten Sicherheitsmechanismen zu deaktivieren, damit sie das gesamte Dokument lesen k\u00f6nnen. Im Beispiel von Sofacy haben die Angreifer schlicht eine wei\u00dfe Schriftfarbe gew\u00e4hlt, sodass der Text vor der Aktivierung von Makros zwar schon vorhanden, aber nicht deutlich sichtbar war.<\/p>\n

 <\/p>\n

Eingebettete Flash-Dateien<\/strong><\/p>\n

Zus\u00e4tzlich zu nativen Features wie Makros unterst\u00fctzt Microsoft Office auch die Einbettung externer Objekte wie beispielsweise Adobe Flash-Dateien. Diese Objekte werden zur Bearbeitung an die entsprechende Software weitergeleitet. Wenn diese Software Schwachstellen enth\u00e4lt, k\u00f6nnen diese also mit in Office-Dokumenten eingebetteten Objekten ausgenutzt werden. Ein Beispiel hierf\u00fcr ist\u00a0CVE-2018-4878<\/a><\/u>, eine Zero-Day-Sicherheitsl\u00fccke\u00a0 im Adobe Flash Player, die durch in Excel-Dokumente eingebettete sch\u00e4dliche SWF-Dateien ausgenutzt werden kann. Dazu werden Adobe Flash-Inhalte in die Excel-Datei eingebettet, die diese Schwachstelle in Flash ausnutzen, um den eingebetteten Shell-Code auszuf\u00fchren.<\/p>\n

 <\/p>\n

Microsoft Formeleditor<\/strong><\/p>\n

\u00c4hnlich wie beim Einbetten von Adobe Flash-Dateien in ein Office-Dokument lassen sich auch mathematische Formeln in Dokumente einbetten, die vom Microsoft Formeleditor geparst werden. Das ist ein Programm, mit dem sich bequem mathematische Formeln schreiben lassen:<\/p>\n

\"\"<\/span><\/div><\/p>\n

Abbildung\u00a02: \u00a0Microsoft Formeleditor<\/p>\n

Wie im vorherigen Beispiel k\u00f6nnen auch Schwachstellen im Formeleditor mithilfe infizierter Office-Dokumente ausgenutzt werden. Erst k\u00fcrzlich ist ein Beispiel hierf\u00fcr aufgetaucht, n\u00e4mlich die Ausnutzung der Schwachstelle CVE-2017-11882<\/a><\/u>, die auch weitere Exploits wie CVE-2018-0802<\/a><\/u> m\u00f6glich macht. Beide nutzen L\u00fccken im Formeleditor aus, die es Angreifern erm\u00f6glichen, per Fernzugriff Code auf einem System auszuf\u00fchren, wenn ein Benutzer ein infiziertes Office-Dokument \u00f6ffnet. Weitere \u00e4hnliche L\u00fccken im Microsoft Formeleditor, wie\u00a0CVE-2018-0807<\/a><\/u>\u00a0und\u00a0CVE-2018-0798<\/a><\/u>, wurden von Forschern\u00a0 der Unit 42 aufgedeckt, aber bisher noch nicht in der Praxis beobachtet.<\/p>\n

Hinweis: Da der Microsoft Formeleditor als selbstst\u00e4ndiger Prozess (eqnedt32.exe) ausgef\u00fchrt wird, greifen die speziell f\u00fcr Microsoft Office implementierten Schutzma\u00dfnahmen wie EMET und Windows Defender Exploit Guard hier standardm\u00e4\u00dfig nicht. Diese sch\u00fctzen nur Microsoft Office-Prozesse wie beispielsweise winword.exe.<\/p>\n

 <\/p>\n

OLE-Objekte und HTA-Handler<\/strong><\/p>\n

OLE-Objekte und HTA-Handler sind Mechanismen zum Einbinden von Verweisen auf andere Dokumente in Office-Dokumente. Sie k\u00f6nnen wie folgt dazu ausgenutzt werden, einen Endpunkt zu infiltrieren:<\/p>\n