{"id":2351,"date":"2018-12-11T16:29:52","date_gmt":"2018-12-11T15:29:52","guid":{"rendered":"https:\/\/gebrauchtesoftware.de\/Testumgebung1\/?p=2351"},"modified":"2018-12-11T16:29:54","modified_gmt":"2018-12-11T15:29:54","slug":"malware-im-umlauf-microsoft-office-mit-sicherheitsluecke-bei-online-video-funktion","status":"publish","type":"post","link":"https:\/\/gebrauchtesoftware.de\/Testumgebung1\/malware-im-umlauf-microsoft-office-mit-sicherheitsluecke-bei-online-video-funktion.php","title":{"rendered":"Malware im Umlauf: Microsoft Office mit Sicherheitsl\u00fccke bei Online-Video-Funktion"},"content":{"rendered":"\n

Eine seit Ende Oktober bekannte Malware wurde jetzt erstmals \u201ein freier Wildbahn\u201c gesichtet. Betroffen sind theoretisch alle Versionen von Word ab 2013. Was Sie tun k\u00f6nnen, um sich zusch\u00fctzen, erfahren Sie in diesem Blogbeitrag.<\/p>\n\n\n\n

Sicherheitsl\u00fccke bereits seit Ende Oktober bekannt<\/strong><\/p>\n\n\n\n

Ende Oktober beschrieb der Sicherheitsanbieter Cymulate erstmals die Malware, die sich eine Schwachstelle in der Online-Video-Funktion von Microsoft Office zunutze macht. Die Schadsoftware tr\u00e4gt den Namen \u201eTrij_Exploit_Aoocai\u201c und verbreitet die Schadsoftware \u201eURSNIF\u201c. URSNIF ist in der Lage, Nutzerdaten zu stehlen. <\/p>\n\n\n\n

Die Malware kommt auf einen PC,indem Angreifer sich einen Fehler in Word 2013 und neuer zunutze machen. Dabei wird ein speziell pr\u00e4pariertes Dokument im .docx-Format (Open Office XML) verwendet. Diese Dateien k\u00f6nnen Texte und andere Objekte wie z.B. \u00a0Bilder enthalten, dazu z\u00e4hlt auch die M\u00f6glichkeit, Online-Videos einzubetten \u2013 etwa solche von Videoplattformen wie YouTube. Die Videos werden dann direkt im Word-Dokument eingebettet und sind bei bestehender Internetverbindung abrufbar. <\/p>\n\n\n\n

Cymulate-Forscher stellen Malware-Funktionsweise nach<\/strong><\/p>\n\n\n\n

Um die Funktionsweise und Durchf\u00fchrbarkeit der Malware zu erkennen und beweisen, f\u00fcgten Sicherheitsforscher in einem Proof-of-Concept einer in einer .docx-Dateienthaltenen .xml-Datei den Tag \u201eembeddedHTML\u201c hinzu und ver\u00e4nderten den Parameter \u201esrc\u201c (Source, Quelle). Die Malware-Opfer werden so zu Pastebin.com umgeleitet, einer Webanwendung, die zur Ver\u00f6ffentlichung von Texten genutzt wird. Hier wiederum ist ein Skript hinterlegt, das bei erfolgreichem Laden auf eine weitere Internetadresse zugreift, wo die \u201eURSNIF\u201c-Malware heruntergeladen und ausgef\u00fchrt wird. Es besteht die M\u00f6glichkeit, dass die im Umlauf befindliche Malware-Variante sogar effektiver ist als jene, die die Sicherheitsforscher von Cymulate nachgestellt haben. <\/p>\n\n\n\n

User m\u00fcssen interagieren, um von Schadsoftware \u201eURSNIF\u201c angegriffen zu werden<\/strong><\/p>\n\n\n\n

Damit der Nutzer sein System mit einer Schadsoftware infiziert, muss er mehrfach mit ihr interagieren. Das sch\u00e4dliche Word-Dokument ger\u00e4t etwa als E-Mail-Anhang auf den Rechner. Wird die Datei ge\u00f6ffnet, muss die Bearbeitung manuell aktiviert werden. Der User muss auf die gef\u00e4lschte Meldung, dass zum \u00d6ffnen des eingebetteten Videos ein Update des Flash-Players vorgenommen wird,hereinfallen und diese best\u00e4tigen. Beim Klick auf die Meldung wird die Schadsoftware heruntergeladen.<\/p>\n\n\n\n

Microsoft ist dieser Umstand seit Ende Oktober bekannt. Gegen\u00fcber dem \u201eSC Magazine\u201c<\/a> sagte das Unternehmen, dass die Software lediglich HTML-Code interpretiere und somit einwandfrei arbeite.<\/p>\n\n\n\n

Beachten von Grundregeln verhindert, dass Malware ihr Ziel erreichen kann<\/strong><\/p>\n\n\n\n

User sollten in jedem Fall einige Grundregeln beachten, um eine Infektion mit \u201eURSNIF\u201c zu verhindern, darunter:<\/p>\n\n\n\n