santiago silver - Fotolia

F

Microsoft-Office-Risiko: So kann man sich vor OLE-Malware schützen

Microsoft warnt davor, dass Angreifer inzwischen OLE-Technologie nutzen, um Malware zu verbreiten. Wie können sich Unternehmen davor schützen?

Statt Makros würden sich Angreifer zunehmend der OLE-Technologie bedienen, um ihre Schadsoftware zu verbreiten. Ein Makro ist üblicherweise eine Folge von Befehlen oder Tastatureingaben, die mit einem einzigen Befehl oder einem Tastenkürzel ausgeführt werden. Makros eignen sich so hervorragend, um wiederholende Aufgaben einfach abzuarbeiten. In einigen Anwendungen wie beispielsweise Microsoft Office ist es möglich, Makros in Dokumente einzubetten und automatisch bei der Öffnung des Dokumentes auszuführen.

Seit Mitte der 1990er-Jahre nutzen Makro-Viren diese technischen Möglichkeiten. Dies ist auch nach wie vor einer der wesentlichen Gründe, warum es gefährlich ist, E-Mail-Anhänge in Form von Office-Dateien zu öffnen. In einer eigentlich unverdächtig aussehenden Office-Datei kann sich durchaus Makro-Malware verstecken.

Abgesehen von wenigen, etwas ruhigeren Phasen, ist Makro-Malware immer noch sehr weit verbreitet und nach Angaben des Microsoft Malware Protection Center eher wieder auf dem Vormarsch. So würden aktuelle Daten aus der Office 365 Advanced Threat Protection belegen, dass 98 Prozent der Office-Bedrohung Makros verwenden würden. Zwar erkennen viele Antivirenprogramme Makro-Malware, aber die Schöpfer der Schadsoftware werden immer einfallsreicher. Zudem verleiten Sie Anwender über Informationen, die per Social Engineering generiert wurden, zum Ausführen oder Öffnen von Dokumenten. Zudem verlagern sich die Angreifer von Makro-Malware auf OLE-Objekte, um schädlichen Inhalte zu aktivieren. Damit wollen die Hacker auch Sicherheitsrichtlinien umgehen, in denen Unternehmen festlegen, wie und wann Makros ausführt werden dürfen.

Die OLE-Technologie (Object Linking and Embedding) erlaubt es Anwendern Office-Dokumente zu erstellen, in denen unterschiedlichste Elemente (Objekte) enthalten sein können. Dabei kann sich um Videos, Kalendereinträge, Tabellen, Grafiken oder andere Office-Objekte handelt. Man kann somit so genannte Verbunddokumente erstellen. Die Objekte lassen sich verlinken (Linking) oder einbetten (Embedding). Wie bei Makros auch, lassen sich so unauffällige Dokumente erstellen, die aber Schadcode im Gepäck haben. Durch geschickte Platzierung der OLE-Objekte versuchen Angreifer die Anwender dazu zu verleiten, auf das entsprechende Objekt zu klicken oder eine andere Aktion auszuführen. Dies funktioniert häufig, unabhängig davon, dass vor entsprechenden Objekten oder Links seit Langem gewarnt wird.

Beispiele gefällig? Da wird ein Dokument beispielsweise als „vertraulich“ ausgegeben, die Entschlüsselung erfolge erst, wenn man auf ein Objekt klicke. Oder aber es wird ein Captcha-Formular missbraucht, und die Aktivierung des Schadcodes erfolgt, wenn der Nutzer die Antwort eingibt. Für die Angriffe wird häufig Visual Basic oder JavaScript genutzt. Dies häufig verschlüsselt, um eine Entdeckung durch Antivirenprogramme zu vermeiden.

Tipp zur Office-Konfiguration

Administratoren können die Aktivierung von OLE-Pakete durch das Ändern eines Registrierungsschlüssels verhindern. Dies funktioniert über folgenden Registry-Key:

HKCU\Software\Microsoft\Office\<Office Version>\<Office application>\Security\PackagerPrompt

Wenn der Wert auf „2“ gesetzt wird, werden die OLE-Pakete deaktiviert. Und sie werden auch nicht aktiviert, wenn der Benutzer darauf klickt oder anders interagiert. Zudem sollten die Sicherheitslösungen im Unternehmen so eingestellt werden, das Office-Dokumente, die von außen kommen, blockiert werden, wenn sie Makros oder OLE-Objekte enthalten.

In Office 2016 blockiert eine neue Funktion das Laden von Makros, wenn bestimmte Bedingungen erfüllt sind. Zudem sind die entsprechenden Benachrichtigungen an den Anwender verbessert worden. Dies soll es für Nutzer einfacher machen, ein etwaiges Risiko zu erkennen. Die Funktion kann über Gruppenrichtlinien gesteuert und pro Anwendung konfiguriert werden. So können Admins Makros aus Word-, Excel- oder PowerPoint-Dateien blockieren, wenn diese aus dem Internet kommen.

Da für die Aktivierung von OLE-Malware in der Regel eine Benutzerinteraktion notwendig, empfehlen sich entsprechende Schulungen, um das Bewusstsein zu schärfen. Anwender sollten sich bewusst sein, eingebettete Objekte niemals zu aktivieren, wenn die Quelle nicht eindeutig bekannt ist.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Ransomware und Makroviren: Microsoft Windows und Office schützen.

Microsoft Ignite 2016: Mehr Sicherheit für Windows und Office.

Office 365: Viren- und Spamschutz richtig konfigurieren.

System und Anwendungen gegen Attacken schützen.

Artikel wurde zuletzt im November 2016 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close