Microsoft und Emotet: Makroschutz in Office 365 nur fĂĽr Konzerne

Angeblich kann man das Ausführen der gefährlichen Emotet-Makros mit Gruppenrichtlinien firmenweit abschalten. Doch dieser Schutz hat riesige Löcher, die nur den wenigsten bekannt sind.

In Pocket speichern vorlesen Druckansicht 62 Kommentare lesen
Microsoft amputiert Makroschutz in Office 365

(Bild: dennizn/Shutterstock.com)

Lesezeit: 13 Min.
Von
  • Oliver Klarmann
Inhaltsverzeichnis

Eine der zentralen Schutzmaßnahmen gegen Emotet ist es, Microsoft Office das Ausführen von Makros zu verbieten. Viele Office-Nutzer benötigen diese Funktion in der täglichen Arbeit nicht; das Abschalten verhindert, dass sie auf einen der miesen Emotet-Tricks hereinfallen und ihr System versehentlich infizieren. Das geht ganz einfach firmen- oder auch abteilungsweit mit Gruppenrichtlinien – so ist zumindest der allgemeine Kenntnisstand zu diesem Thema. Fakt ist jedoch, dass dieser Schutz keineswegs so zuverlässig funktioniert, wie allgemein kolportiert. Denn Microsoft hat die Administration mit Gruppenrichtlinien wissentlich verkrüppelt.

Stellen Sie sich folgendes vor: Als verantwortungsbewusster Firmen-Administrator rollen Sie Gruppenrichtlinien aus, die das das Ausführen von Makros unterbinden. Sie kontrollieren dies auch auf mehreren Systemen und sehen in den Office-Einstellungen wie erwartet, dass die Makroeinstellungen auf "Alle Makros ohne Benachrichtigung deaktivieren" festgenagelt sind. Die Auswahloptionen sind ausgegraut; der Anwender kann sie nicht ändern. Trotzdem kommt es kurze Zeit später zu einer Emotet-Infektion, bei der ein Anwender eine vorgebliche Antwort-Mail eines Geschäftspartners erhalten und das angehängte Dokument geöffnet hat. Als er auf "Bearbeiten aktivieren" klickte, nahm das Unheil seinen Lauf.

Sie fallen natürlich aus allen Wolken, denn diese Option zum Aktivieren von Makros hätte gar nicht erscheinen dürfen. Des Rätsels Lösung: Ihre Firma setzt gemischte Office-Versionen ein. Die Meisten benutzen noch "Office Professional Plus" und solche Installationen haben Sie auch erfolgreich getestet. Einige Anwender sind allerdings bereits auf das kürzlich angeschaffte "Office 365 Business Premium" umgezogen – und das ignoriert die Gruppenrichtlinien. Und zwar nicht etwa mit einer Meldung "Achtung, eventuell ergriffene Schutzmaßnahmen funktionieren unter Umständen nicht mehr", sondern still und leise, ohne Warnung. Über genau diese Situation sind etwa die Administratoren bei Heise eher zufällig gestolpert – zum Glück, ohne dass es zu einer Emotet-Infektion kam.

Nachforschungen ergaben, dass Microsoft die UnterstĂĽtzung von Gruppenrichtlinien in folgenden Office-Editionen fĂĽr den Firmeneinsatz abgeschaltet hat:

  • Office 365 Business
  • Office 365 Business Essentials
  • Office 365 Business Premium
  • Office 365 Enterprise E1
  • Office 365 Enterprise F1
  • Microsoft 365 Business

Dabei ist es keineswegs so, dass dies auf ein grundsätzliches Problem der 365er-Versionen zurückzuführen wäre. Denn neben dem klassische Office Professional lassen sich auch die "großen" und damit teureren Enterprise-Versionen über Gruppenrichtlinien administrieren. Konkret funktionieren Grupenrichtlinien derzeit mit:

  • Office Professional Plus 2013
  • Office Professional Plus 2016
  • Office Professional Plus 2019
  • Office 365 ProPlus
  • Office 365 Enterprise E3
  • Office 365 Enterprise E5

Dieses unterschiedliche Verhalten wurde mit Office 2013 eingeführt, unterschiedliche Editionen älterer Versionen werten die Gruppenrichtlinien alle noch aus. In einer Testumgebung lässt sich dieses Verhalten auch recht einfach nachstellen.

Office Professional Plus 2016: Wegen der Gruppenrichtlinie ist das AusfĂĽhren von Makros hart ausgeschaltet; der Rechner ist geschĂĽtzt.

(Bild: Screenshot)

Dieses Bild zeigt das Trust Center von Word in einer Installation von Office Professional Plus 2016. Da eine Gruppenrichtlinie das Ausführen von Makros verbietet, ist die Option "Alle Makros ohne Benachrichtigung deaktivieren" gesetzt und der Anwender erhält keinen Zugriff darauf. Der Rechner ist geschützt. Das folgende Bild zeigt einen PC mit der gleichen Windows-Version, der sich in der selben Domain befindet. Auch für ihn sollte folglich die Gruppenrichtlinie gelten. Jedoch ist hier Office 365 Business Premium installiert.

Ein Einfallstor für Schädlinge wie Emotet. Office 365 Business Premium ignoriert die Gruppenrichtlinie; der Anwender kann Makros beliebig aktivieren und ausführen.

(Bild: Screenshot)

Die Folge: Die entsprechenden Konfigurations-Optionen sind weder gesetzt noch ausgegraut. Anwender/-innen können die Einstellung daher nach Belieben ändern und damit Schadsoftware unkontrollierten Zugang einräumen.

Es handelt sich dabei auch keineswegs um einen Fehler oder gar eine unbeabsichtigte SicherheitslĂĽcke, fĂĽr die man einen Patch erwarten darf. Microsoft ist dieses Verhalten durchaus bekannt; es ist an verschiedenen Stellen dokumentiert. So fĂĽhrt etwa eine Download-Seite fĂĽr Vorlagen zu Office-Richtlinien unter System Requirements nur Versionen mit aktiver UnterstĂĽtzung fĂĽr Gruppenrichtlinien auf. Und eine Dienstbeschreibung zu Office-Anwendungen verneint ziemlich weit unten die "UnterstĂĽtzung der Gruppenrichtlinie" bei den oben aufgefĂĽhrten Versionen ohne Gruppenrichtlinien.

Wer also vor der Anschaffung das Kleingedruckte bis ins letzte Detail auswertet, hätte es wissen können. Doch Hand aufs Herz: Wer macht das wirklich? heise Security erntete jedenfalls bei einer kurzen, informellen Umfrage unter Admins und Windows-Experten vor allem eine Mischung aus Erstauen und Entsetzen. Die Tatsache, dass erst die teuren Enterprise-Editionen den gewünschten Schutz vor Gefahren wie Emotet tatsächlich umsetzen, interpretierten viele als Erpressung.

Kaum ein Administrator, es sei denn, er setzt sich detailliert mit den Funktionsunterschieden auseinander, erwartet an dieser Stelle ein potentiell risikoreiches Verhalten. Microsoft möchte mit diesen Versions-Unterschieden offenbar den Absatz der teureren, größeren Editionen ankurbeln. In Zeiten von Krypto-Trojanern nimmt Microsoft unwissenden Anwendern günstigerer Editionen damit allerdings ein wesentliches Mittel zur Absicherung ihrer IT-Umgebung. Nur wer mehr bezahlt, kommt in den Genuss der vorlagenbasierten, einfachen Methode zur Abschaltung der risikoreichen Makros.

Man kann die Office-Einstellungen ĂĽber passende Registry-SchlĂĽssel setzen.

Wer im Besitz einer der betroffenen Office-365-Versionen ist, fragt sich vielleicht, ob es da nicht doch Abhilfe gibt. In der Tat werden in Foren Workarounds diskutiert. Sie laufen letztlich darauf hinaus, das Ausführen von Makros über Registry-Einträge zu deaktivieren, die man ebenfalls über Gruppenrichtlinien verteilt. Das ist jedoch zum einen nicht ganz trivial und hat zum anderen einen wichtigen Haken.

Der entscheidende Registry-SchlĂĽssel heiĂźt vbawarnings und sieht beispielsweise so aus:

Aktion        Aktualisieren
Struktur HKEY_CURRENT_USER
SchlĂĽsselpfad Software\Microsoft\office\16.0\word\security
Name vbawarnings
Werttyp REG_DWORD
Wertdaten 4
Basis Dezimal

Man muss den Schlüssel dabei für jede einzelne Applikation (Word, Excel, …) setzen und im Schlüsselpfad die verwendete Office-Version berücksichtigen. Office 2010 verwendet intern die Versionsnummer 14.0; Office 2013 läuft unter 15.0 und Office 2016, 2019 und 365 firmieren unter 16.0. Weiterhin muss der Schlüsselpfad unbedingt auf Software\Microsoft\Office\... lauten und nicht Software\Policies\Microsoft\Office\... wie in einigen Beispielen im Internet zu finden. Denn genau diese Policies werden in einigen Editionen gerade nicht ausgewertet.

Diese Registry-Schlüssel stellen zwar die Makroeinstellungen auf "Alle Makros ohne Benachrichtigung deaktivieren". Damit ignorieren alle MS-Office-Versionen – einschließlich Office 365 – in einem Dokument enthaltene Makros. Allerdings handelt es sich nur um eine Benutzerkonfiguration. Somit kann der angemeldete Anwender diese Einstellung über das Menü ändern – etwa auf "Alle Makros aktivieren". Bei einem direkt anschließenden Öffnen einer .doc-Datei mit Makros wird eventueller Schadcode dann direkt und ohne weitere Nachfrage ausgeführt.

Durch die Aktion "Aktualisieren" setzt Windows allerdings diese Einstellung standardmäßig nach 90 Minuten wieder auf den sicheren Wert zurück. Wem das zu lange erscheint, der kann das Intervall zum Aktualisieren der Gruppenrichtlinien zum Beispiel auf 15 Minuten herabsetzen. Vor allem wenn man sehr viele Gruppenrichtlinien im Einsatz hat, sollte man diesen Wert allerdings nicht zu niedrig einstellen, denn dieses Intervall gilt grundsätzlich für die Prüfung aller Gruppenrichtlinien.

Es bleibt somit ein gewisses Risiko. heise Security ist ein Fall bekannt, in dem ein Anwender von einer Emotet-Mail so überzeugt war, dass er das Ausführen von Makros händisch erlaubt hat, um der dringlichen Aufforderung des vermeintlichen Geschäftspartners nachzukommen, seine Daten zu aktualisieren. Diese Gefahr ist also tatsächlich real.

Selbstverständlich steht es Microsoft frei, den Funktionsumfang seiner Produkte nach Belieben festzulegen. Dass aber ausgerechnet bei Editionen, die sich explizit an Unternehmen richten, eine der wichtigsten Funktionen für den Unternehmenseinsatz fehlt, ist mindestens kurios. Spätestens seit dem Aufkommen von Emotet und Co, die sich primär über Makros in Office-Dateien verbreiten, ist es jedenfalls nicht mehr nachvollziehbar, dass Microsoft eine der einfachsten und wirksamsten Schutzfunktionen so verstümmelt.

Für interessierte Administratoren liefert die nächste Seite praktische Hinweise zum Umgang mit Gruppenrichtlinien und erklärt insbesondere konkret, wie man damit Makros im Firmennetz abschalten kann – so die eingesetzte Office-Version das noch unterstützt.

In Microsoft Office ist es bereits seit vielen Jahren möglich, das Ausführen von Makros per Richtlinie im eigenen Unternehmen komplett zu unterbinden. Und wenn sie die entsprechenden Office-Versionen einsetzen, verhindern IT-Abteilungen damit, dass Anwender/-innen unbedacht potentiell schädliche Inhalte ausführen. Im Zeitalter von Emotet und Co. ist genau dieses Blockieren von Makros schließlich eine der zentralen Maßnahmen, um Unternehmensnetzwerke zu schützen.

Diese Richtlinie schaltet das AusfĂĽhren von Makros in Word ab.

Setzt man nun Office-Versionen ein, die die Gruppenrichtlinien nicht wie eben beschrieben, ignorieren, ist in einem Microsoft-Active-Directory basiertem Netzwerkwerk diese Schutzfunktion innerhalb weniger Minuten auf allen angeschlossenen Windows-PCs aktivierbar. Microsoft selbst stellt die benötigen Richtlinien-Vorlagen zum Download bereit. Diese müssen entpackt und vorzugsweise im Central Store der AD-Sysvol-Freigabe abgelegt werden (siehe unten GPO-Vorlagen-Ordner). Die aktuellen Vorlagen-Dateien umfassen Office 2016, Office 2019 und Office 365, sie sind aber auch für ältere Versionen noch verfügbar. Anschließend können diese Vorlagen mit dem Gruppenrichtlinienverwaltungs-Editor konfiguriert und aktiviert werden.

Für den gewünschten Zweck gibt es mehrere Stellen, um das Ausführen von Makros in Microsoft-Office-Dokumenten zentral abzuschalten. Grundsätzlich kann die Ausführung von Visual Basic für Applikationen (VBA) für sämtliche Office-Anwendungen zentral abgeschaltet werden: unter Computerkonfiguration > Richtlinien > Administrative Vorlagen > Microsoft Office (Computer) > Sicherheitseinstellungen; dort muss die Einstellung "VBA für Office-Anwendungen deaktivieren" aktiviert werden. Hierbei ist zu beachten, dass es für jede Office-Version (also 2010, 2013, 2016) einen eigenen Zweig gibt.

Das explizite Ausführen von VBA-Makros und das Verhalten der Office-Anwendungen, wenn eine zu öffnende Datei ein VBA-Makro enthält, wird dagegen individuell für jede Office-Anwendung einzeln mit einer Benutzerkonfigurations-Richtlinie gesteuert, bzw. deaktiviert. Für Word 2016 zum Beispiel findet sich diese unter Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Microsoft Word 2016 > Word-Optionen > Sicherheit > Trust Center. Hier ist die Einstellung "Ausführung von Makros in Office-Dateien aus dem Internet blockieren" zu aktivieren und die Einstellung "Einstellungen für VBA-Makrobenachrichtigungen" in der Auswahlbox auf "Alle Makros ohne Benachrichtigung deaktivieren" zu setzen und ebenfalls zu aktivieren. Für die anderen Microsoft-Office-Anwendungen gilt dies analog.

Nachdem alle Richtlinien konfiguriert und den gewünschten Organisationseinheiten (OUs) zugewiesen sind, werden die Richtlinien wirksam. Es kann lediglich noch bis zu 90 Minuten dauern, bis diese Einstellungen auch auf den Computern tatsächlich aktiv werden. Dieser Zeitraum ist das Standard-Intervall, in dem Windows-Computer nach neuen oder geänderten Richtlinien suchen und diese abarbeiten.

Weil die Steuerung über die Organisationseinheiten stattfindet, lassen sich allerdings auch Ausnahmen definieren. Benötigt man zum Beispiel in der Finanzabteilung aktive Makros für Excel-Berechnungen, im Rest des Unternehmens hingegen nicht, gruppiert man die Computerobjekte der Finanzabteilung in einer eigenen OU, auf der entweder die zentrale Richtlinie oder zumindest die Richtlinie für Excel nicht angewandt wird.

Der sinnvollste Ablageort für Gruppenrichtlinien-Vorlagen ist der "Central Store". Um den Central Store zu benutzen, muss unterhalb des Ordners \\FQDN\SYSVOL\FQDN\policies der Ordner "PolicyDefinitions" erstellt werden, in den die Vorlagen-Dateien (.admx) hineinkopiert werden. Das Tool zur Gruppenrichtlinienverwaltung wertet diesen Ordner grundsätzlich hardcodiert aus und benutzt dort vorhandene Vorlagen zusätzlich zu den lokalen Vorlagen im Ordner %Systemroot%\PolicyDefinitions.

Damit stehen Vorlagen auf allen Rechnern bereit, auf denen der Gruppenrichtlinienverwaltungs-Editor ausgeführt wird. Möchte man den Central Store nicht benutzen, kopiert man die Vorlagen in den lokalen Policy-Ordner im %Systemroot% – also typischerweise C:\Windows\PolicyDefinitions. Mitgelieferte Sprachdateien (.adml) gehören, passend zur jeweiligen Sprache, in die Unterordner de-DE, en-US und so weiter.

Bei Verwendung eines lokalen Policy-Ordners ist zu beachten, dass GPOs, die auf einem solchen Rechner konfiguriert wurden, zwar Domänen-weit angewandt werden, aber von anderen Arbeitsstationen aus nicht komplett konfiguriert werden können, weil dort die nötigen Vorlagen fehlen.

Das Speichern im lokalen Vorlagenordner ermöglicht es allerdings, auf lokalen Systemen, die beispielsweise nicht Mitglied eines Windows-Active-Directory sind, die Vorlagen mit dem lokalen Richtlinieneditor (gpedit.msc) dennoch zu benutzen. Das kann für einen Familien-Administrator wichtig sein, um den Rest der Familie von unbedachten "Klicks" abzuhalten (und sich selbst auch).

Solche Gruppenrichtlinien sind ein unverzichtbares Werkzeug für die Administration von Windows-Rechnern. Wieso Microsoft deren Unterstützung in den "kleinen", vor allem bei mittelständischen Unternehmen beliebten Office-365-Versionen amputiert hat, ist schlicht nicht nachvollziehbar. (ju)