209948

Neue Sicherheitslücke in Powerpoint

14.07.2006 | 14:57 Uhr |

Erneut wird ein Schwachstelle in Microsoft Office bekannt, über die beliebiger Programm-Code eingeschleust werden kann.

In einer Powerpoint-Datei, die der Antivirus-Hersteller Symantec analysiert hat, steckt ein Trojanisches Pferd. Durch Ausnutzen einer bis dahin unbekannten Sicherheitslücke in Powerpoint wird der Schädling beim Öffnen der Datei installiert. Symantec nennt diese neue Variante Trojan.PPDropper.B und stuft sie als sehr geringe Bedrohung ein.

Die Powerpoint-Präsentation wird per Mail verschickt und ist offenbar chinesischer Herkunft, worauf neben den Eigenschaften der Mail sowohl Dateiname als auch Inhalt hinweisen. Durch eine absichtlich fehlerhaft gestaltete Zeichenkette in dem Dokument kommt es beim Öffnen mit Powerpoint zu einem Pufferüberlauf und eine von Symantec als Backdoor.Bifrose.E bezeichnete Malware wird ausgeführt. Der Schädling wird als "regvrt.exe" im System-Verzeichnis von Windows abgelegt. Er injiziert Programm-Code in den laufenden Prozess des Windows Explorers und überschreibt auf diesem Weg die Powerpoint-Datei mit einer bereinigten Dateiversion.

Auffällig ist, dass in den letzten Wochen und Monaten immer wieder neue Schwachstellen in Microsoft Office bekannt werden. Offenbar ist die Office-Suite zurzeit das beliebteste Spielzeug von Malware-Autoren. Sie untersuchen jede potenzielle Angriffsfläche in den Programmen mit speziellen Werkzeugen. Diese generieren so lange unsinnige Variableninhalte und Zeichenketten, bis ein Programm abstürzt. Die gefundene Anfälligkeit wird auf ihre Nutzbarkeit zum Einschleusen von schädlichem Code untersucht.

Die Verbreitung derart präparierter Office-Dokumente ist in aller Regel sehr gering. Sie werden meist gezielt an einzelne oder relativ wenige Unternehmen geschickt. Ihr Zweck ist letztlich die Wirtschaftspionage. Während Microsoft offiziell meist nur von einem einzelnen Fall spricht, liegen Sicherheitsforschern wie Andreas Marx von AV-Test mehrere Dutzend Meldungen von Unternehmen vor, die mit solchen Office-Dokumenten angegriffen wurden. Diese Meldungen seien auch Microsoft bekannt, sagt Andreas Marx, würden jedoch nicht offiziell bestätigt.

Die neuen Sicherheitslücken tauchen oft kurz nach dem Microsoft Patch Day auf. Die Täter wissen, dass sie nun etwa vier Wochen Zeit haben, bis ein Sicherheits-Update die Lücke stopft. Das ist mehr als genug Zeit um etliche Firmen zu infiltrieren. Seit Makroviren aus dem Bewusstsein der meisten Anwender verschwunden sind (obwohl es sie weiterhin gibt), gelten Office-Dokumente wieder als harmlos. Während die meisten inzwischen gelernt haben, dass sie EXE-Dateien aus Mails nicht öffnen sollten, sehen sie Office-Dokumente als unbedenklich an.

Antivirus-Programme und andere Sicherheitslösungen bieten keinen ausreichenden Schutz vor solchen präparierten Dateien. Die Erkennung ist zu lückenhaft, findet meist nur die bekannten Dateivarianten und kommt oft den möglicherweise entscheidenden Tag zu spät. Zu den vorbeugenden Schutzmaßnahmen sollten daher gehören, das Öffnen unverlangt zugesandter Office-Dateien mit Microsoft-Produkten zu unterbinden. Als Ausweichlösung kann dafür zum Beispiel das kostenlose Open Office eingesetzt werden. Anwender sollten nur als eingeschränkte Benutzer angemeldet sein, um die Installation von Trojanischen Pferden zu erschweren.

0 Kommentare zu diesem Artikel
209948