MS-Office: So funktioniert der neue Office-Makroschutz
Eines der Haupteinfallstore für Ransomware sind Makros in Office-Dateien. Microsoft bessert da jetzt beim Schutz nach und auch bei 7-zip hat sich was getan.
(Bild: dennizn/Shutterstock.com)
Windows und MS-Office behandeln Dateien und insbesondere Dokumente je nach Herkunft unterschiedlich. Denn eine vom Anwender selbst erstellte Excel-Tabelle soll deren Makros natürlich ausführen. Bei einer via Mail zugestellten Excel-Datei wäre das hingegen ein großes Sicherheitsrisiko, denn die Makros könnten den Rechner auch mit Schadsoftware infizieren.
Deshalb öffnete MS-Office Dokumente aus dem Internet bislang in einer geschützten Ansicht, in der Makros zunächst nicht ausgeführt werden. Stattdessen präsentierte Microsoft einen gelben Balken mit einer Warnung. Der Anwender kann die Makros dennoch ausführen, indem er auf "Bearbeitung aktivieren" zum Beenden der geschützten Ansicht und anschließend auf "Inhalt aktivieren" klickt. Mit gut gemachten Phishing-Mails gelang es Kriminellen immer wieder, Anwender dazu zu bewegen; auch Heise hat sich auf diesem Weg Emotet eingefangen.
Damit soll jetzt Schluss sein. Aktuelle Office-Versionen sperren Makros in solchen Dateien aus dem Internet komplett und zeigen eine rote Warnmeldung; der Anwender kann die Makros nicht mehr ausführen. Das will Microsoft stufenweise für alle Office-Versionen für Windows ausrollen. Aktuell haben wir das neue Verhalten bereits in Version 2206 (Aktueller Kanal) vorgefunden.
Das "Mark of the Web"
Damit das mit dem Warnen und Blockieren funktioniert, führt Windows Buch, woher eine Datei stammt. Es speichert diese Information zur Herkunft – das sogenannte Mark of the Web (MOTW) – in einem sogenannten Alternate Data Stream namens Zone.Identifier. Wenn der Anwender etwa ein ZIP-Archiv aus dem Internet auspackt, vererbt sich das MOTW auch an die extrahierten Dateien weiter. Übrigens betrifft das spezielle Verhalten je nach Herkunft nicht nur Office-Dateien. Auch vor dem Start von ausführbaren Dateien aus dem Internet präsentiert Windows eine Warnung.
Das alles funktioniert jedoch nur, wenn alle involvierten Programme mitspielen und die Verwaltungsinformationen richtig setzen: der Browser, das E-Mail-Programm und auch die eingesetzten Tools für ZIP- und andere Archive. Die Windows-eigenen Programme machen das; Chrome, Firefox und Thunderbird setzen das MOTW ebenfalls um. Auch Archiv-Tools wie WinRAR prozessieren das MOTW. Auf Github gibt es eine Übersicht zum MOTW-Verhalten verschiedener Tools.
Sie können das Verhalten auch ganz einfach testen, indem Sie sich von heise Securitys Emailcheck eine harmlose Doc-Datei mit einem Makro zuschicken lassen. Optional bekommen Sie dort auch ein ZIP-Archiv mit je einer normalen und einer Doc-Datei mit einem Testmakro. Hinweis: Der Versand der Mails kann einige Minuten dauern; wenn nach 10 Minuten nichts angekommen ist, wurde die Mail eventuell unterwegs von einem Virenfilter als "potenziell böse" aussortiert.
Lücken im System
Das ganze System ist recht wackelig. Bereits beim Kopieren einer Datei auf einen USB-Stick mit FAT32 geht das MOTW verloren, denn Alternate Data Streams sind ein NTFS-Feature. Natürlich kann man es auch händisch entfernen. Dazu genügt es, im Explorer bei den Eigenschaften der Datei den Haken "Zulassen" zu setzen.
Downloads aus dem eigenen, lokalen Netz sollten das MOTW übrigens nicht erhalten, wenn Windows sie der Zone "Lokales Intranet" zuordnet. Um etwa einen firmeneigenen Filesharing-Server als vertrauenswürdig zu markieren, nimmt man ihn explizit in die Liste der "Trusted Sites" auf. Microsoft beschreibt die dazu notwendigen Handgriffe in einem Support-Artikel zu Macros from the internet will be blocked by default in Office.
7-zip nachjustieren
Eine große Lücke war bisher das auch in Firmen beliebte Open-Source-Programm 7-zip. Denn das plattformübergreifende Tool kümmerte sich nicht um solche Windows-Interna und ignorierte das Mark of the Web komplett. Wer eine Datei aus einer Mail mit 7-zip auspackt, kann diese direkt wie eine lokale öffnen. Enthaltene Makros werden direkt ausgeführt. Der Autor des Programms zeigte bis vor Kurzem auch wenig Lust, das zu ändern.
Doch nach etwas “positiver Verstärkung” hat er in der letzten Version 22.00 zumindest optionale Unterstützung des MOTW eingebaut, wie die Liste der Neuerungen zeigt:
- New -snz switch to propagate Zone.Identifier stream to extracted files (Windows).
- New option "Propagate Zone.Id stream" in Tools/Options/7-Zip menu.
-snz vererbt nun auch 7-zip das MOTW weiter. Im GUI kann man dieses Verhalten wie im Bild gezeigt unter “Propagate Zone.Id” aktivieren.
Admins können das auch über einen Registry-Key unter
HKEY_CURRENT_USER\SOFTWARE\7-Zip\Options
einstellen. Der Wert des DWORD-Eintrags WriteZoneIdExtract steuert das 7-zip-Verhalten; 0 ignoriert das MOTW; 1 vererbt es an alle und 2 nur an Office-Dateien. Zu den unterstützten Office-Formate gehört jedoch offenbar nicht RTF.
Empfehlungen
Generell ist das Mark of the Web bei der Gefahrenabwehr bei Weitem nicht so zuverlässig, wie man sich das wünschen würde. Das ist jedoch kein Grund, ganz darauf zu verzichten. Nutzer von 7-zip sollten die Option deshalb einschalten; Administratoren in Firmennetzen, die 7-zip einsetzen, empfiehlt heise Security den Registry-Wert auf 1 zu setzen, am besten über eine Gruppenrichtlinie netzwerkweit. Das verringert die Gefahr, dass Anwender ihr System versehentlich mit einer der allgegenwärtigen Trojaner-Mails à la Emotet infizieren. Negative Nebenwirkungen dieser 7-zip-Einstellung sind uns nicht bekannt.
Ergänzend sollten Admins gefährliche Datei-Anhänge in Mails auf dem Mail-Gateway filtern und Anwender über die Gefahren von Makros aufklären. Wer statt MS-Office auf LibreOffice umsteigen kann, bringt sich elegant aus der Schusslinie. Die VBA-Makros aus Microsofts Office funktionieren dort nämlich nicht.
(ju)
