Sicherheit von RTF-Dokumenten bedroht: Embedded Malware abwehren

Embedded Malware bedroht die Sicherheit von RTF-Dokumenten. Wir erklären, wie die Schadsoftware Zbot/Zeus vorgeht und wie Sie sich davor schützen.

Im Vergleich mit anderen verbreiteten Dateiformaten für Dokumente wurde RTF bisher als relativ sicher eingestuft. In RTF wurden weniger Schwachstellen gefunden, weil dieses „historische“ Dokumentenformat nicht die umfangreiche Funktionalität bietet, wie etwa DOC-Dateien von Microsoft Word. Weniger Funktionalität bedeutet theoretisch auch weniger ausnutzbare Optionen für schlechte Absichten. Daher wird das RTF-Format auch gerne zum vermeintlich sicheren Austausch von Dokumenten genutzt. Die meisten Office-Programme können RTF-Dateien lesen und das Format bietet ausreichend Möglichkeiten, um einen Text ansprechend zu gestalten.

Andererseits besitzen RTF-Dokumente aber mehr Funktionalität als Textdateien. Mit einem reinen Textformat haben sie jedoch kaum Möglichkeiten für eine ansprechende Gestaltung des Inhalts. RTF scheint also der beste Kompromiss zwischen Funktionalität und Sicherheit zu sein.

Wie der Angriff funktioniert

In RTF-Dokumente lassen sich allerdings andere Dateien einbetten. Der Sicherheitsanbieter TrendMicro beschrieb in einem Blog, wie Anwender per Social-Engineering-Angriff dazu gebracht werden sollen, eine solche eingebettete schädliche Datei anzuklicken. Die Nutzer können eine solche Datei unter Windows direkt von Wordpad aus öffnen. TrendMicro berichtet, dass das schädliche RTF-Dokument Anweisungen auf Deutsch und Portugiesisch enthält, damit der Anwender die eingebettete Datei öffnet. Die vermeintliche Empfangsbestätigung ist in Wahrheit eine CPL-Datei (Control Panel File) - eigentlich ein Programm für die Windows-Systemsteuerung. Das so gestartete CPL-File im RTF-Dokument lädt dann die Schadsoftware Zbot/Zeus herunter - eine ungewöhnliche Art der Malware-Verbreitung.

Embedded RTF-Malware abwehren

Als Anwender sollte man bedenken, dass es nur wenige legitime Gründe gibt, die für das Einbetten einer Datei in ein RTF-Dokument sprechen. Wenn Sie diesen Fall haben, sollten sie stutzig werden. Eine entsprechende Schulung der Mitarbeiter ist also anzuraten, aber erfahrungsgemäß nicht „sicher“.

Unternehmen können ihre Endpunkte mit einer Anti-Spam- oder Anti-Malware-Software schützen, die den E-Mail- und/oder Netzwerk-Traffic untersucht. Eine andere Möglichkeit wären Netzwerkgeräte, die per Deep Inspection eingebettete Dateien identifizieren und unter Quarantäne stellen.

Unternehmen könnten ihre Endpunkte auch vor diesem Angriff beschützen, indem sie RTF-Anhänge automatisch in Bilder oder andere unkritische Dateiformate konvertieren lassen. Das beeinträchtigt allerdings den unkomplizierten Austausch der Information.

Natürlich kann man RTF-Dateien auch komplett blockieren, denn so häufig werden sie im Gegensatz zu DOC- und PDF-Dateien nun auch nicht verwendet. Allerdings stoppt das nicht die Gefahren, die von möglicher Malware in anderen Dateianhängen ausgeht.

Damit sind wir bei der Option, einfach alle Dateianhänge von externen E-Mail-Adressen zu blockieren. Aber diese drastische Maßnahme wirkt sich garantiert negativ auf den Geschäftsablauf aus.

Angesichts all dieser Kompromisse ist es am zuverlässigsten, Anti-Malware-Software auf den Endpunkten einzusetzen oder Netzwerkgeräte wie Intrusion-Prevention-Systeme, Anti-Malware-Appliances, Next-Generation Firewalls etc. zu verwenden.

 

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close