Trojaner installiert sich über kritisches Sicherheitsleck in Word [Update]
Hacker aus China und Taiwan nutzen eine bislang unbekannte Lücke in Microsofts Textprogramm, um einen Trojaner auf dem System zu installieren.
Hacker aus China und Taiwan nutzen eine Lücke in Microsofts Textprogramm, um eine Hintertür auf dem System zu installieren. Dieser Backdoor.Ginwui genannte Angreifer verbreitet sich als Word-Dokument über E-Mails, die sich als interne Nachrichten tarnen und nicht von Spam- oder Antiviren-Filtern aussortiert werden.
Backdoor.Ginwui wurde erstmals in einer in Japan ansässigen Firma gefunden. Das Angriffszenario entspricht den unlängst befürchteten, gezielten Attacken, die nur schwer zu erkennen sind. Der Angreifer installiert nach dem Öffnen des Dokuments unbemerkt eine Hintertür, über die Angreifer die Kontrolle über den PC erlangen können. Nach aktuellen Erkenntissen von Sicherheitsexperten überschreibt er anschließend den Inhalt der ursprünglichen Word-Datei und provoziert so einen Absturz von Word. Nach erneutem Öffnen ist dann nur ein Dokument mit einer harmlosen Nachricht zu sehen. Nach der Installation sendet die Backdoor Pings an IP-Addressen in Asien, teilt also mit, wo sie erreichbar ist. Weitere Details sind bisher spärlich: Vor Entdeckungen schützt sich der Eindringling mit Rootkit-Techniken. Zudem werde anscheinend auch eine RBot-Variante installiert, die diverse System-Informationen einholt, beispielsweise über installierte Anti-Viren-Scanner oder auch den Inhalt diverser Ordner und Dateien.
Angriffe wie dieser sind der Stoff, aus dem die Alpträume der Sicherheitsexperten gestrickt sind: restriktive Firmen-Firewall, aktuelle Antiviren-Software auf den Servern und Desktops, alle Sicherheits-Updates installiert – und all das hilft nicht. Aus Sicht des Anwenders hat nur "die Textverarbeitung mal wieder gesponnen" während im Hintergrund sein Rechner infiziert wurde und zukünftig beispielsweise Firmengeheimnisse ausspionieren und an Dritte weiterleiten könnte.
Die als hoch kritisch eingestufte Sicherheitslücke wurde bisher bei Microsoft Word 2002 and Microsoft Word 2003 diagnostiziert. Details über den Mechanismus liegen noch nicht vor, ebensowenig ein Patch, der die Sicherheitslücke stopft. Die Erkennungsraten von Antiviren-Software sind laut Andreas Marx von AV-Test noch sehr mager, nur F-Secure, McAfee und Symantec erkennen schon einige der fraglichen Dateien. Auch wenn bisher nur wenige dieser trojanischen Mails an ausgewählte Ziele verschickt wurden, ist damit zu rechnen, dass die Schwachstelle nach ihrem Bekanntwerden in größerem Umfang ausgenutzt wird. Deshalb sollte man unverlangt eingesandte Office-Dokumente möglichst nicht öffnen; im Zweifelsfall hilft eine kurze Rückfrage beim vermeintlichen Absender, eine mögliche Infektion zu vermeiden.
Update: Laut einem Eintrag im Microsoft Security Response Center Blog ist der Word Viewer nicht von der Lücke betroffen. Es empfiehlt sich also, Word-Dokumente aus unsicherer Quelle mit dem Viewer statt mit Word zu öffnen. Microsoft will den Scanner ihres Windows Live Security Center um eine Erkennung des Schädlings erweitern. Man arbeite außerdem an Patches für die betroffenen Office-Versionen, die planmäßig am 13. Juni veröffentlicht werden sollen, eventuell früher.
Siehe dazu auch: ()
- Targeted attack: experience from the trenches Meldung des Internet Storm Centers
- Trojan.Mdropper.H Beschreibung von Symantec
- Backdoor.Ginwui Beschreibung von Symantec
- Exploit-OleData.gen Beschreibung von McAfee
- BackDoor-CKB!cfaae1e6 Beschreibung von McAfee
- Ginwui.A Beschreibung von F-Secure
- W97M_MDROPPER.AB Beschreibung von Trend Micro
- W97M_MDROPPER.AC Beschreibung von Trend Micro
- BKDR_GINWUI.A Beschreibung von Trend Micro
- BKDR_GINWUI.B Beschreibung von Trend Micro