251603

Fazit: Office 2000 ist nicht sicherer

Office 2000 ist trotz einiger Antiviren-Maßnahmen nicht sicherer geworden. Viren können nach wie vor unter falscher Flagge segeln und wie bisher werden auch jetzt Anwender aus Versehen Virenmakros aktivieren.

Office 2000 kümmert sich nach wie vor nicht wirklich um Viren oder Trojanische Pferde. Die Plug-in-Schnittstelle, die Microsoft Antivirenprogrammen bereitstellt, ist völlig ungeschützt und kann von Angreifern dazu mißbraucht werden, Dokumente erst recht und sehr elegant zu infizieren, spezielle Tarnkappentricks zu implementieren oder gar die Antivirenfunktionen abzuschalten.

Zusätzlich sind in Office 2000 mit Visual Basic for Applications (VBA6) viele neue Funktionen hinzugekommen, die Virenprogrammierern das Leben erleichtern. Auf der anderen Seite hat Microsoft kaum eine Bitte der Anti-Virus-Hersteller erhört. So werden Makros wie bisher zusammen mit den Dokumenten gespeichert. Bei getrennter Speicherung könnte die Existenz von Makros nicht nur schnell erkannt werden - meist bräuchten sie dann auch gar nicht mit dem Dokument weitergegeben werden.

Aber auch eine Einschränkung des Funktionsumfanges der Makrosprache hätte genügt, um Makroviren einzudämmen. Es bleibt fraglich, warum sehr viele Funktionen zur Verfügung stehen, um die Makros selbst zu verändern bzw. überhaupt auf sie zuzugreifen. Im Service Release 1::::::::::::: (SR1:::::::::::::) von Office '97 wurde VBA etwas eingeschränkt: Das Kopieren von Makros aus der globalen Makrovorlage heraus war danach nicht mehr möglich. Allerdings kamen die Programmierer schnell auf die Idee, den Viruscode per Import/Export-Funktion zu umgehen, wie es etwas X97M/Import.A vorgemacht hat. Des weiteren besteht unter anderem die Möglichkeit, alle Makros in einen String zu speichern, um sie schließlich in das Zieldokument einzufügen.

Diese Möglichkeiten waren bereits lange vor der Auslieferung von Office 2000 bekannt und sie wurden von den Viren auch intensiv genutzt. Obwohl diese Funktion für "normale" Anwender nicht essentiell sein sollte, wurde sie nicht beschnitten, sondern vielmehr die Möglichkeiten der Verbreitung weiter ausgebaut.

Firmen und Anwender sollten also nicht darauf setzen, daß Makros in Office abgefangen werden. Viel früher, etwa im Mail-Gateway oder auf dem Netzwerkserver sollten Dateien mit unbekannten Makros konsequenterweise nicht durchgelassen werden oder die Makros sollten mittels eines Anti-Viren-Programms vollständig entfernt oder zurückgewiesen werden. Dies gilt im übrigen nicht nur für Office-Dokumente, sondern auch für anderen Arten von Mail-Anhängen.

http://www.symantec.com/avcenter/nav_o2k/o2secwp.pdf

http://www.sophos.com/virusinfo/whitepapers/office2000.html

PC-WELT Marktplatz

251603