Zero-Day-Exploit für Powerpoint
Kaum ist der letzte Patchday vorbei, taucht schon der erste Zero-Day-Exploit für Microsofts Präsentationsprogramm auf.
Für Microsoft-Office-Nutzer kommt es dicke: Erneut nutzen Angreifer kurz nach dem Patchday eine bislang unbekannte Schwachstelle in einem Programm der Bürosoftware-Suite aktiv aus. Dieses Mal hat Symantec eine manipulierte Powerpoint-Präsentation aufgespürt, die eine Variation der Backdoor Backdoor.Bifrose.E auf dem Rechner installiert. Symantec hat die schädliche Powerpoint-Präsentation Trojan.PPDropper.B getauft.
Die Angreifer scheinen noch ein Arsenal an missbrauchbaren Lücken in petto zu haben und nutzen nur wenige davon zur Zeit überhaupt aus. So können sie sicher sein, dass nach dem Patchday weiterhin Lücken für etwa vier Wochen offen stehen, die sie dann zum Einschleusen beliebigen Codes missbrauchen können.
Nachdem vor Jahren eine Zeit lang Makroviren in Office-Dateien als Einfallstor für Schadsoftware dienten, wurde diese Gefahr durch sinnvollere Voreinstellungen in den Programmen nahezu abgestellt. Seitdem stufen die meisten Anwender Office-Dokumente nicht mehr als potenziell schädlich ein und öffnen diese unbedacht. Dieses Verhalten wird auch dadurch begünstigt, dass Anwender etwa von Freunden häufig Witz-Dokumente zugeschickt bekommen. Der Virenscanner sollte schädliche Dokumente schließlich blockieren.
Andreas Marx von AV-Test warnt jedoch davor, auf Antiviren-Software zu vertrauen. In seinen Tests hat sich herausgestellt, dass zahlreiche AV-Hersteller lediglich eine Prüfsumme der entdeckten Dokumente für den Virencheck heranziehen. Ändert man nur ein Bit in dem Dokument, erkennen diverse Scanner den Schädling nicht mehr. Die anderen Antivirenhersteller bräuchten zuviel Zeit, bis sie generische Signaturen bereitstellen.
Bei den Schwachstellen in Excel, die nach dem Juni-Patchday ausgenutzt wurden, sprach Microsoft in seinem Sicherheitsblog lediglich von einer einzelnen Sichtung. Ein Update der Meldung hinsichtlich der Verbreitung und somit der Gefahr durch die Lücke fand nie statt – Marx hat aber inzwischen Kenntnis von mindestens 30 unterschiedliche Versionen manipulierter Dokumente, die bei Mitarbeitern von Unternehmen landeten. Privatanwender stehen bislang nicht im Visier der Versender der präparierten Office-Dokumente. Da diese bislang zumeist gezielt bei einzelnen Unternehmen eintreffen, ist die wahrscheinliche Motivation der Schädlingsbastler Industriespionage.
Gegenmaßnahmen zu treffen gestaltet sich schwierig: Da Office-Dokumente häufig zwischen Unternehmen ausgetauscht werden, ist an eine allgemeine Filterung am Gateway nicht zu denken. Das gezielte Herausfischen der manipulierten Dokumente gelingt nur bei bereits bekannten Exploits. Das Arbeiten mit eingeschränkten Benutzerrechten begrenzt zwar Schädlinge ebenfalls, sodass sie sich nicht tief im System verstecken können. Die eigenen Office-Dokumente lesen, versenden oder zerstören können sie trotzdem, auch können sie sich in die Autostarts des Benutzers eintragen.
Mit dem Einsatz eines stets aktualisierter Virenscanners von einem anderen Hersteller als des Gateway-Scanners kann man jedoch möglicherweise erreichen, dass Schaddokumente von einer der beiden Lösungen erkannt werden. Der NX-Speicherschutzes – auch nur als Softwarelösung – kann helfen, die Auswirkungen von Pufferüberläufen zu minimieren, empfiehlt Marx. Schließlich bleibt noch die Aufklärung der Mitarbeiter – während die meisten Anwender wissen, dass eine .exe-Datei nicht ausgeführt werden sollte, ist das Bewusstsein über schädliche Office-Dokumente meist nicht vorhanden. (dmk)
