In den Microsoft Office Build-In-Features gibt es eine Schwachstelle, die einer Malware es ermöglicht, sich zu verbreiten. Microsoft sieht keine Schwachstelle – aber nun ist wohl eine ‚qkG Ransomware‘ aufgetaucht, die genau diese Technik nutzt.
The Hacker News hat das Thema in diesem Artikel aufgegriffen und die relevanten Informationen verknüpft.
Problem bekannt
Der italienische Sicherheitsforscher Antonio Buono hatte kürzlich auf eine Angriffsmethode hingewiesen, mit dem Angriffe die von Microsoft eingeführte (Makro-)Sicherheitsprüfung umgehen können, um selbstreplizierende Malware zu erstellen. Diese kann mit unschuldig aussehenden MS Word-Dokumenten verbreitet werden. Die Details des Angriffs sind in in diesem Artikel nachzulesen.
Laut The Hacker News kontaktierte Antonio Buono Microsoft mit seiner Entdeckung. Microsoft lehnte es ab, dieses Problem als Sicherheitslücke zu betrachten. Aus Sicht von Microsoft arbeitet die Funktion auf die vorgesehene Weise.
qkG Filecoder Ransomware entdeckt
Nun hat das Sicherheitsteam von Trend Micro eine qkG filecoder genannte Ransomware entdeckt, die Dateien verschlüsseln kann und Lösegeld erpresst. Die Ransomware ist vollständig in VBA-Makros implementiert und trägt den Namen qkG filecoder. Trend Micro erkennt die Schadsoftware als RANSOM_CRYPTOQKKG.A.
Es handelt sich um eine klassische Makro-Malware, die die von Microsoft Word benutzte Standard-Dokumentvorlage (normal.dot) infiziert. Erstellt der Benutzer ein neues, leeres Word-Dokument, basiert diese standardmäßig auf der normal.dot. Sprich: Alle neuen, leeren Word-Dokumente sind mit der Malware infiziert (diese hat sich repliziert).
Aufgefallen ist die Malware, als diese am 12. November 2017 (wohl aus Vietnam) auf VirusTotal hochgeladen wurde. Laut Trend Micro ist der Ansatz wohl mehr als ein ‘proof of concept’, denn in der Urfassung war noch nichts von einer Bitcoin-Adresse zu finden. Zwei Tage später waren sowohl die Bitcoin-Adresse als auch eine Routine, die ein Dokument an einem bestimmten Tag und zu einer bestimmten Uhrzeit verschlüsselt, zu finden. Am nächsten Tag sah das Security Team ein qkG-Beispiel mit einem anderen Verhalten (d.h. eine Anweisung, Dokumente mit einem bestimmten Dateinamenformat nicht zu verschlüsseln).
Laut Trend Micro ist qkG filecoder die erste Ransomware, die eine Datei (und einen Dateityp) verschlüsselt, und eine der wenigen dateiverschlüsselnden Malware-Beispiele, die vollständig in Visual Basic for Applications (VBA) Makros geschrieben wurde. Es ist auch einer der wenigen Fälle, die ungewöhnlich bösartigen Makrocode verwenden, um Systeme zu infizieren. Normalerweise verwenden die üblichen Malware-Familien die Makros hauptsächlich zum Herunterladen der eigentlichen Ransomware-Software. Der Fall ist im Trend Micro-Blog beschrieben, wo sich weitere Details nachlesen lassen.
Ähnliche Artikel:
Word DDE-Schwachstelle wird aktiv ausgenutzt
Microsoft Sicherheits-Ratschlag 4053440 zur DDE-Lücke
Was kann man jetzt dagegen tun, bzw. gibt es schon eine Vorgehensweise?
Außer jeden Schei……. anzuklicken natürlich.
Genau das tun: nicht jeden Schei… anklicken. Kein Unternehmen und keine Behörde werden Dir Rechnungen als zip-Archiv oder als Word Dokument schicken. Und die regelmäßig wiederkehrenden Präsentationen, die sich ja alle Jahre wieder über Mail verbreiten, sollten Dich einfach nicht neugierig genug machen, da etwas anzuklicken. Was übrigens für alle unangemeldeten und unaufgefordert zugesandten Anhänge gelten sollte.
Stimmt so nicht. Telekom sendet die Rechnung per E-mail mittels zip-Datei. Das Problem ist die elektronische Signatur bei diesen Rechnungen. Deshalb haben die es in eine zip-Datei gepackt.
Elektronisch versandte Rechnungen, das machen viele Unternehmen, sind großteils nicht signiert. Die Fin-Verwaltung erkennt diese trotzdem an. Diese kommen dann mit pdf-Anhang. Telekom macht das richtig und ist gesetzestreu und da haben die es eben in eine zip-Datei gelegt.
Das mit den Rechnungen auf elektronischen Weg zu versenden (E-mail oder Download) ist ein Problem, was der Gesetzgeber in § 15 Abs.3 UStG fixiert hat, jedoch nicht gelöst ist. Es geht hierbei um den Vorsteuerabzug für den Empfänger. Es ist zum Haare raufen.
Heißt das nun, dass Makros ausgeführt werden, auch wenn ich die Makro-Ausführung blockiert oder auf „Click-to-Play“ (Standardeinstellung) gesetzt habe?
Falls nur neue Dokumente wegen der normal.dot betroffen sind, sollte das selbst dem Durchschnitts-DAU auffallen, dass bei jedem neuen Dokument eine „komische Meldung“ erscheint.
Wenn ich es richtig interpretiere, werden geblockte Makros nicht ausgeführt.
Cool will ich auch haben ;)
wo kann man den bekommen? Günter hast du noch meine Email Adresse?