Millionenfach Angriffe auf Word über Zero-Day-Leck

Die Zero-Day-Lücke in Microsoft Office wird intensiv genutzt, um den Dridex-Banking-Trojaner zu verbreiten. Die Sicherheitsfirma Proofpoint berichtet von Millionen E-Mails mit präparierten Dokumenten, die an zahlreiche Organisationen vor allem in Australien versandt wurden. Von der Schwachstelle betroffen sind alle Office-Versionen bis hin zu Office 2016 unter Windows 10. Exploits sind offenbar schon seit Ende Januar in Umlauf.

Die Hintermänner des Dridex-Botnetzes verlassen sich gewöhnlich auf angehängte Dokumente mit Makros, um ihre Schadsoftware zu verbreiten, erläutern die Sicherheitsforscher. Dabei sind sie allerdings auf unachtsam klickende Empfänger angewiesen, die unabsichtlich Malware auf ihren Geräten installieren. Mit der Zero-Day-Lücke haben sie es noch deutlich leichter, solange sie nicht behoben ist. Dabei nutzen sie die Anfälligkeit mit einem speziell präparierten Dokument im Rich Text Format (RTF) mit DOC-Dateiendung.

Dieser Dialog öffnet sich auf verwundbaren Systemen. (Bild: Proofpoint)

Die Mails der beobachteten Kampagne scheinen aus der Domain des Empfängers zu kommen mit vorgetäuschten Absendern wie “dokumente@[empfänger]”. Sie haben den Betreff “Scan Data” und transportieren Anhänge wie “Scan_123456.doc”. Mehr Mühe mit Social Engineering geben sich die Angreifer in diesem Fall nicht, sondern wollen offenbar nur möglichst schnell das Sicherheitsloch ausnutzen.

Die Schwachstelle wird nicht über Makro-Skripte genutzt, sondern über ein eingebettetes OLE-Objekt, das automatisch zur Ausführung kommt, wenn der Empfänger die Datei öffnet. Sofern der Exploit erfolgreich ist, sorgt er für die Installation von Dridex Botnet ID 7500. Die Sicherheitsexperten testeten das beispielsweise auf Office 2010, bei dem es zu einer vollständigen Kompromittierung kam. Nutzer wurden zwar aufmerksam gemacht auf enthaltene Links, die sich auf andere Dateien beziehen könnten – aber danach war eine weitere nutzerseitige Interaktion nicht mehr erforderlich.

Microsoft hat bereits einen Sicherheitspatch angekündigt, der noch heute verfügbar werden soll. Aufgrund der breiten und effektiven Angriffsmöglichkeiten empfiehlt Proofpoint Nutzern und Organisationen dringend, den Patch so schnell wie möglich anzuwenden.

Das Dridex-Botnetz verteilte teilweise Antiviren-Software von Avira anstelle von Banking-Malware. Es widerstand auch Polizeiaktionen, mit denen internationale Sicherheitsbehörden das Botnetz zwar vorübergehend eindämmen, aber nicht vollständig abschalten konnten.

Redaktion

Recent Posts

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

14 Stunden ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

19 Stunden ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

20 Stunden ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

2 Tagen ago

Rechenzentrumsnetzwerke als Schlüssel für Desaster Recovery

Huawei Connect Paris: Innovationen rund um Data Center, Storage und IT-Sicherheit.

2 Tagen ago

Cybersecurity mit KI: Strategischer Vorteil oder Sicherheitsrisiko?

Mit KI optimieren Hacker ihre Angriffsversuche. Ist CIAM eine Lösung, mit der sich Unternehmen vor…

2 Tagen ago