Microsoft und Emotet: Makroschutz in Office 365 nur für Konzerne

Angeblich kann man das Ausführen der gefährlichen Emotet-Makros mit Gruppenrichtlinien firmenweit abschalten. Doch dieser Schutz hat riesige Löcher, die nur den wenigsten bekannt sind.

In Pocket speichern vorlesen Druckansicht 62 Kommentare lesen
Microsoft amputiert Makroschutz in Office 365

(Bild: dennizn/Shutterstock.com)

Lesezeit: 13 Min.
Von
  • Oliver Klarmann
Inhaltsverzeichnis

Eine der zentralen Schutzmaßnahmen gegen Emotet ist es, Microsoft Office das Ausführen von Makros zu verbieten. Viele Office-Nutzer benötigen diese Funktion in der täglichen Arbeit nicht; das Abschalten verhindert, dass sie auf einen der miesen Emotet-Tricks hereinfallen und ihr System versehentlich infizieren. Das geht ganz einfach firmen- oder auch abteilungsweit mit Gruppenrichtlinien – so ist zumindest der allgemeine Kenntnisstand zu diesem Thema. Fakt ist jedoch, dass dieser Schutz keineswegs so zuverlässig funktioniert, wie allgemein kolportiert. Denn Microsoft hat die Administration mit Gruppenrichtlinien wissentlich verkrüppelt.

Stellen Sie sich folgendes vor: Als verantwortungsbewusster Firmen-Administrator rollen Sie Gruppenrichtlinien aus, die das das Ausführen von Makros unterbinden. Sie kontrollieren dies auch auf mehreren Systemen und sehen in den Office-Einstellungen wie erwartet, dass die Makroeinstellungen auf "Alle Makros ohne Benachrichtigung deaktivieren" festgenagelt sind. Die Auswahloptionen sind ausgegraut; der Anwender kann sie nicht ändern. Trotzdem kommt es kurze Zeit später zu einer Emotet-Infektion, bei der ein Anwender eine vorgebliche Antwort-Mail eines Geschäftspartners erhalten und das angehängte Dokument geöffnet hat. Als er auf "Bearbeiten aktivieren" klickte, nahm das Unheil seinen Lauf.

Sie fallen natürlich aus allen Wolken, denn diese Option zum Aktivieren von Makros hätte gar nicht erscheinen dürfen. Des Rätsels Lösung: Ihre Firma setzt gemischte Office-Versionen ein. Die Meisten benutzen noch "Office Professional Plus" und solche Installationen haben Sie auch erfolgreich getestet. Einige Anwender sind allerdings bereits auf das kürzlich angeschaffte "Office 365 Business Premium" umgezogen – und das ignoriert die Gruppenrichtlinien. Und zwar nicht etwa mit einer Meldung "Achtung, eventuell ergriffene Schutzmaßnahmen funktionieren unter Umständen nicht mehr", sondern still und leise, ohne Warnung. Über genau diese Situation sind etwa die Administratoren bei Heise eher zufällig gestolpert – zum Glück, ohne dass es zu einer Emotet-Infektion kam.

Nachforschungen ergaben, dass Microsoft die Unterstützung von Gruppenrichtlinien in folgenden Office-Editionen für den Firmeneinsatz abgeschaltet hat:

  • Office 365 Business
  • Office 365 Business Essentials
  • Office 365 Business Premium
  • Office 365 Enterprise E1
  • Office 365 Enterprise F1
  • Microsoft 365 Business

Dabei ist es keineswegs so, dass dies auf ein grundsätzliches Problem der 365er-Versionen zurückzuführen wäre. Denn neben dem klassische Office Professional lassen sich auch die "großen" und damit teureren Enterprise-Versionen über Gruppenrichtlinien administrieren. Konkret funktionieren Grupenrichtlinien derzeit mit:

  • Office Professional Plus 2013
  • Office Professional Plus 2016
  • Office Professional Plus 2019
  • Office 365 ProPlus
  • Office 365 Enterprise E3
  • Office 365 Enterprise E5

Dieses unterschiedliche Verhalten wurde mit Office 2013 eingeführt, unterschiedliche Editionen älterer Versionen werten die Gruppenrichtlinien alle noch aus. In einer Testumgebung lässt sich dieses Verhalten auch recht einfach nachstellen.

Office Professional Plus 2016: Wegen der Gruppenrichtlinie ist das Ausführen von Makros hart ausgeschaltet; der Rechner ist geschützt.

(Bild: Screenshot)

Dieses Bild zeigt das Trust Center von Word in einer Installation von Office Professional Plus 2016. Da eine Gruppenrichtlinie das Ausführen von Makros verbietet, ist die Option "Alle Makros ohne Benachrichtigung deaktivieren" gesetzt und der Anwender erhält keinen Zugriff darauf. Der Rechner ist geschützt. Das folgende Bild zeigt einen PC mit der gleichen Windows-Version, der sich in der selben Domain befindet. Auch für ihn sollte folglich die Gruppenrichtlinie gelten. Jedoch ist hier Office 365 Business Premium installiert.

Ein Einfallstor für Schädlinge wie Emotet. Office 365 Business Premium ignoriert die Gruppenrichtlinie; der Anwender kann Makros beliebig aktivieren und ausführen.

(Bild: Screenshot)

Die Folge: Die entsprechenden Konfigurations-Optionen sind weder gesetzt noch ausgegraut. Anwender/-innen können die Einstellung daher nach Belieben ändern und damit Schadsoftware unkontrollierten Zugang einräumen.

Es handelt sich dabei auch keineswegs um einen Fehler oder gar eine unbeabsichtigte Sicherheitslücke, für die man einen Patch erwarten darf. Microsoft ist dieses Verhalten durchaus bekannt; es ist an verschiedenen Stellen dokumentiert. So führt etwa eine Download-Seite für Vorlagen zu Office-Richtlinien unter System Requirements nur Versionen mit aktiver Unterstützung für Gruppenrichtlinien auf. Und eine Dienstbeschreibung zu Office-Anwendungen verneint ziemlich weit unten die "Unterstützung der Gruppenrichtlinie" bei den oben aufgeführten Versionen ohne Gruppenrichtlinien.

Wer also vor der Anschaffung das Kleingedruckte bis ins letzte Detail auswertet, hätte es wissen können. Doch Hand aufs Herz: Wer macht das wirklich? heise Security erntete jedenfalls bei einer kurzen, informellen Umfrage unter Admins und Windows-Experten vor allem eine Mischung aus Erstauen und Entsetzen. Die Tatsache, dass erst die teuren Enterprise-Editionen den gewünschten Schutz vor Gefahren wie Emotet tatsächlich umsetzen, interpretierten viele als Erpressung.

Kaum ein Administrator, es sei denn, er setzt sich detailliert mit den Funktionsunterschieden auseinander, erwartet an dieser Stelle ein potentiell risikoreiches Verhalten. Microsoft möchte mit diesen Versions-Unterschieden offenbar den Absatz der teureren, größeren Editionen ankurbeln. In Zeiten von Krypto-Trojanern nimmt Microsoft unwissenden Anwendern günstigerer Editionen damit allerdings ein wesentliches Mittel zur Absicherung ihrer IT-Umgebung. Nur wer mehr bezahlt, kommt in den Genuss der vorlagenbasierten, einfachen Methode zur Abschaltung der risikoreichen Makros.

Man kann die Office-Einstellungen über passende Registry-Schlüssel setzen.

Wer im Besitz einer der betroffenen Office-365-Versionen ist, fragt sich vielleicht, ob es da nicht doch Abhilfe gibt. In der Tat werden in Foren Workarounds diskutiert. Sie laufen letztlich darauf hinaus, das Ausführen von Makros über Registry-Einträge zu deaktivieren, die man ebenfalls über Gruppenrichtlinien verteilt. Das ist jedoch zum einen nicht ganz trivial und hat zum anderen einen wichtigen Haken.

Der entscheidende Registry-Schlüssel heißt vbawarnings und sieht beispielsweise so aus:

Aktion        Aktualisieren
Struktur HKEY_CURRENT_USER
Schlüsselpfad Software\Microsoft\office\16.0\word\security
Name vbawarnings
Werttyp REG_DWORD
Wertdaten 4
Basis Dezimal

Man muss den Schlüssel dabei für jede einzelne Applikation (Word, Excel, …) setzen und im Schlüsselpfad die verwendete Office-Version berücksichtigen. Office 2010 verwendet intern die Versionsnummer 14.0; Office 2013 läuft unter 15.0 und Office 2016, 2019 und 365 firmieren unter 16.0. Weiterhin muss der Schlüsselpfad unbedingt auf Software\Microsoft\Office\... lauten und nicht Software\Policies\Microsoft\Office\... wie in einigen Beispielen im Internet zu finden. Denn genau diese Policies werden in einigen Editionen gerade nicht ausgewertet.

Diese Registry-Schlüssel stellen zwar die Makroeinstellungen auf "Alle Makros ohne Benachrichtigung deaktivieren". Damit ignorieren alle MS-Office-Versionen – einschließlich Office 365 – in einem Dokument enthaltene Makros. Allerdings handelt es sich nur um eine Benutzerkonfiguration. Somit kann der angemeldete Anwender diese Einstellung über das Menü ändern – etwa auf "Alle Makros aktivieren". Bei einem direkt anschließenden Öffnen einer .doc-Datei mit Makros wird eventueller Schadcode dann direkt und ohne weitere Nachfrage ausgeführt.

Durch die Aktion "Aktualisieren" setzt Windows allerdings diese Einstellung standardmäßig nach 90 Minuten wieder auf den sicheren Wert zurück. Wem das zu lange erscheint, der kann das Intervall zum Aktualisieren der Gruppenrichtlinien zum Beispiel auf 15 Minuten herabsetzen. Vor allem wenn man sehr viele Gruppenrichtlinien im Einsatz hat, sollte man diesen Wert allerdings nicht zu niedrig einstellen, denn dieses Intervall gilt grundsätzlich für die Prüfung aller Gruppenrichtlinien.

Es bleibt somit ein gewisses Risiko. heise Security ist ein Fall bekannt, in dem ein Anwender von einer Emotet-Mail so überzeugt war, dass er das Ausführen von Makros händisch erlaubt hat, um der dringlichen Aufforderung des vermeintlichen Geschäftspartners nachzukommen, seine Daten zu aktualisieren. Diese Gefahr ist also tatsächlich real.

Selbstverständlich steht es Microsoft frei, den Funktionsumfang seiner Produkte nach Belieben festzulegen. Dass aber ausgerechnet bei Editionen, die sich explizit an Unternehmen richten, eine der wichtigsten Funktionen für den Unternehmenseinsatz fehlt, ist mindestens kurios. Spätestens seit dem Aufkommen von Emotet und Co, die sich primär über Makros in Office-Dateien verbreiten, ist es jedenfalls nicht mehr nachvollziehbar, dass Microsoft eine der einfachsten und wirksamsten Schutzfunktionen so verstümmelt.

Für interessierte Administratoren liefert die nächste Seite praktische Hinweise zum Umgang mit Gruppenrichtlinien und erklärt insbesondere konkret, wie man damit Makros im Firmennetz abschalten kann – so die eingesetzte Office-Version das noch unterstützt.