Makros sind out – Disk-Images und Archivformate sind in

Im Februar 2022 kündigte Microsoft an, dass es Makros aus dem Internet standardmäßig blockieren würde. Solche Makros werden seit Jahren von Angreifern missbraucht, um Malware zu übermitteln. Während die Sicherheits-Community spekulierte, dass Angreifer aufgrund der Entscheidung von Microsoft auf alternative Formate ausweichen würden, hat Sophos diese Tatsache anhand seiner Telemetriedaten bestätigt.

Verwendung obskurer Archivformate

Von April bis September dieses Jahres hat Sophos einen starken Rückgang der Anzahl schädlicher DOC-, DOCM-, XLS- und XLSM-Dateien festgestellt – vier beliebte Office-Formate für die Verbreitung schädlicher Makros. Gleichzeitig war bis Mitte Juni ein stetiger Anstieg der Verwendung obskurer Archivformate (ACE, ARJ, XZ, GZ oder LZH) und ab September ein starker Anstieg der gängigeren Archivformate (ZIP, 7Z, CAB, TAR und RAR) zu verzeichnen. Auch die Verwendung von Disk-Image-Formaten (ISO, VHD und UDF) für die Verbreitung von Malware hat stetig zugenommen.

Disk-Image-Formate sind für Bedrohungsakteure besonders attraktiv, weil sie Microsofts neue “Mark of the Web”-Funktion (MOTW) umgehen. Microsoft verwendet MOTW, um festzustellen, ob ein Makro aus dem Internet stammt oder nicht; ist dies der Fall, wird es automatisch blockiert. Sicherheitsprodukte sollten außerdem in der Lage sein, mehrere Archiv- und Disk-Image-Formate zu entpacken, darunter auch unbeliebte Formate, um diese Anhänge ordnungsgemäß auf Malware zu untersuchen. Um die Risiken weiter zu minimieren, können E-Mail-Filter so konfiguriert werden, dass bestimmte Dateiformate standardmäßig blockiert werden. Denn E-Mails zählen nach wie vor zu den Hauptangriffsvektoren.

E-Mail-Sicherheit zentral verwalten

Chester Wisniewski, Principal Research Scientist bei Sophos, sagt: “Wir geben schon seit Jahren dieselben Ratschläge für die E-Mail-Sicherheit. Dinge wie ‘Klicken Sie nicht auf diesen Link’ oder ‘Öffnen Sie keine gefährlichen Attachments’. Die Realität ist, dass sich die Cybersicherheitslandschaft ständig verändert. Es ist unwahrscheinlich, dass Cyberkriminelle Makros vollständig aufgeben werden, denn sie passen sich mit hoher Wahrscheinlichkeit an diese neuesten Sicherheitsmaßnahmen von Microsoft an. Die Unternehmen sollten das Gleiche tun. Eine gute E-Mail-Sicherheit muss zentral verwaltet werden. Zudem gilt es die Benutzer zu schulen, wie sie vermeiden können, auf das trickreiche Social Engineering der Cyberkriminellen hereinzufallen.“

Roger Homrich

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago