{"id":12429,"date":"2018-03-10T11:53:20","date_gmt":"2018-03-10T10:53:20","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=12429"},"modified":"2018-03-07T11:56:41","modified_gmt":"2018-03-07T10:56:41","slug":"methoden-von-cyberkriminellen-werden-ausgefeilter-angriffe-ueber-word-ohne-makros-moeglich","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=12429","title":{"rendered":"Methoden von Cyberkriminellen werden ausgefeilter: Angriffe \u00fcber Word ohne Makros m\u00f6glich"},"content":{"rendered":"

\"\"<\/a><\/p>\n

Autor\/Redakteur: Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security<\/a>\/gg<\/p>\n

Wie k\u00fcrzlich berichtet wurde, verwenden Cyberkriminelle eine neue Methode bei der Verbreitung von Malware mithilfe von Word-Dokumenten. Das bisherige Szenario sah folgenderma\u00dfen aus: Angreifer verbreiten ihre Schadsoftware \u00fcber Microsoft Office-Dokumente wie Word, Excel oder Power Point, in denen Makros integriert sind. Beim \u00d6ffnen der Dokumente k\u00f6nnen dann die Makros ausgef\u00fchrt werden. Die Benutzer erhalten hierbei zwar automatisierte Warnungen seitens Office, wenn eine zu \u00f6ffnende Datei Makros enth\u00e4lt \u2013 allerdings entscheidet der Nutzer, ob er der Ausf\u00fchrung zustimmt.<\/p>\n

<\/p>\n

Die Sicherheitsforscher des Unternehmens Trustwave haben nun eine andere Variante des bekannten Angriffsmusters gefunden. Beobachtet wurde eine E-Mail-Spam-Kampagne, bei der durch die \u00d6ffnung des Email-Anhangs ein Programm zum Passwortdiebstahl mit heruntergeladen wurde. Die Malware ist so unter anderem in der Lage, die Anmeldeinformationen von Browsern, Email- und FTP-Clients zu kompromittieren. Diese bekannte Angriffsart wird nun also noch gef\u00e4hrlicher, da sie ganz ohne Makros funktioniert und Nutzer den Angriff somit noch weniger erahnen k\u00f6nnen; zudem sind nicht alle L\u00f6sungen zur E-Mail-Sicherheit bereits auf diese neue Angriffsart vorbereitet.<\/p>\n

Die Frage die sich jetzt stellt ist, wie sich Unternehmen gegen solch einen ausgekl\u00fcgelten Angriff sch\u00fctzen k\u00f6nnen? Wichtig ist hierbei: die verwendete Sicherheitsl\u00f6sung muss in der Lage sein, alle Arten von aktiven Inhalten zu entfernen, nicht nur Makros. Im Falle der neuen Angriffsmethode, bei der Makros aktiv umgangen werden, handelt es sich um ein OLE (Object Linking and Embedding)-Objekt, das die Ereigniskette startet, welche den Datenmissbrauch m\u00f6glich macht. Aus diesem Grund ist es essentiell, L\u00f6sungen einzusetzen, die alle Arten von aktiven Inhalten entfernen, einschlie\u00dflich Malware auf OLE-Basis. Ohne den Einsatz einer umfassenden L\u00f6sung, welche die wachsende Bedrohungslage bewusst miteinkalkuliert und auf diese eingeht, machen Unternehmen und Nutzer sich stark angreifbar.<\/p>\n

Zus\u00e4tzlich zum Einsatz der passenden IT-Sicherheitsl\u00f6sung ist es wichtig, dass sowohl das Betriebssystem als auch alle Anwendungen mit den neuesten Patches auf dem aktuellsten Stand gehalten werden. Dadurch werden Schwachstellen geschlossen und erst gar nicht ausgenutzt. Dies ist notwendig, da die Angreifer bei der Malware-Verbreitung schlie\u00dflich bekannte Schwachstellen einer anderen Anwendung ausnutzen, in diesem Fall des MS Equation Tools. Hierbei ist es wichtig zu betonen, dass das \u201eUp to Date-Halten\u201c des Betriebssystems und der Anwendungen kein einmaliger Aufwand ist, sondern eine st\u00e4ndige und notwendige Wachsamkeit seitens der IT-Abteilung erfordert. Die Wichtigkeit von Updates kann nicht h\u00e4ufig genug betont werden \u2013 ist ein Update verf\u00fcgbar, sollte es sofort implementiert werden.<\/p>\n

Seit einigen Jahren wird Nutzern eindringlich geraten, in keinem Fall Anh\u00e4nge von unbekannten Absendern zu \u00f6ffnen \u2013 moderne Sicherheits-Gateways f\u00fcr E-Mail und Web haben ausf\u00fchrbare Dateien entfernt, damit dies erst gar nicht m\u00f6glich ist. Allerdings nimmt die Zahl der Dokumente, die als Mittel f\u00fcr Malware-Angriff genutzt werden, stetig zu. W\u00e4hrend F\u00e4llen von Ransomware viel mediale Aufmerksamkeit gewidmet wird, werden diese Art von Angriffe immer ausgefeilter und erreichen den n\u00e4chsten Entwicklungsstand, ohne dass ihnen viel Beachtung geschenkt wird. So gilt auch nach wie vor der Ratschlag, niemals Anh\u00e4nge unbekannter Empf\u00e4nger zu \u00f6ffnen, und sogar im Falle von bekannten Absendern vorsichtig zu sein. Vermutet ein User, mit Malware infiziert zu sein, sollte in jedem Fall schnellstm\u00f6glich die IT-Abteilung informiert werden.<\/p>\n

Zusammenfassend l\u00e4sst sich sagen, dass Unternehmen und einzelne Nutzer dieser neuen Bedrohungslage mithilfe einer L\u00f6sung zur E-Mail-Sicherheit Herr werden k\u00f6nnen. Voraussetzung ist hier, dass alle aktiven Inhalte von vornherein entfernt werden. Als zus\u00e4tzliche Ma\u00dfnahme sollte innerhalb des Unternehmens ein gutes Patch-Management greifen und eine generelle Vorsicht von Nutzern im Umgang mit E-Mail-Anh\u00e4ngen sollte geboten sein. Diese beiden Ma\u00dfnahmen k\u00f6nnen solch durchdachte Angriffsmuster allerdings nicht aufhalten, einzig ein effektiver Schutz in Form einer L\u00f6sung zur Emailsicherheit kann hier sicher vor Datenmissbrauch sch\u00fctzen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Michael Kretschmer, VP EMEA von Clearswift RUAG Cyber Security\/gg Wie k\u00fcrzlich berichtet wurde, verwenden Cyberkriminelle eine neue Methode bei<\/p>\n","protected":false},"author":3,"featured_media":12430,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[1881,37],"tags":[2731,1450,7798,1458,175,11097,2102,11096,3753,1862,11094,4266,11095,1107,1448],"class_list":["post-12429","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-glosse","category-security","tag-clearswift","tag-excel","tag-makro","tag-malware","tag-microsoft","tag-ms-equation-tools","tag-office","tag-ole","tag-passwort","tag-patch","tag-power-point","tag-spam","tag-trustwave","tag-update","tag-word"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12429","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12429"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12429\/revisions"}],"predecessor-version":[{"id":12432,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12429\/revisions\/12432"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/12430"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12429"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12429"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12429"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}