Volle Kontrolle über Leck in Word

EnterpriseProjekteService-ProviderSicherheit

Verschiedene Sicherheitsunternehmen warnen jetzt vor einer Zero-Day-Attacke, die eine Lücke in Word ausnutzt.

Das Exploit stammt offenbar von sehr versierten Hackern aus China oder Taiwan und werde äußerst selektiv eingesetzt, wie Hersteller von Sicherheitslösungen warnen. Microsoft hat den Fehler inzwischen bestätigt und arbeite laut eigenen Angaben derzeit an einer Lösung des Problems.

Der Schad-Code wird über eine Mail in einem angehängten Word-Dokument verbreitet. Beim Öffnen dieser Datei startet der Virus eine Hintertür, die über so genannte Rootkits vor Antivirenfiltern verschleiert wird.

In einem Fall, so berichtet das Internet Storm Center des SANS Institute, hätte ein Mitarbeiter eine Mail erhalten, die scheinbar aus dem Unternehmen von einem Mitarbeiter stammte und sogar über eine gültige Signatur verfügte. Lediglich eine kleine Abweichung im Domain-Namen des Absenders ließ den Mitarbeiter stutzig werden. “Die Mail war namentlich an das verfolgte Opfer gerichtet und wurde nicht von der Antiviren-Software entdeckt”, heißt es auf der Seite des ISC.

Der Wurm nutzt ein bisher unbekanntes Leck auf einem voll gepatchten Windows-Rechner aus. Neben dem Hintertürchen startet der Schad-Code auch einen Trojaner, der dann das angehängte Dokument mit einer uninfizierten Version überschreibt.

Dabei stürzt Word ab. Der Rechner fragt über einen Dialog nach, ob das Dokument wiederhergestellt werden soll. Beantwortet der Nutzer diese Frage mit ja, dann öffnet der Schädling das neue und saubere Dokument. Daneben meldet die Software Informationen über das angegriffene System an einen Server in China und ist für Remote-Befehle empfangsbereit.

Mit Hilfe der Befehlsfunktion kann der Angreifer mehr oder weniger komplett die Kontrolle über das angegriffene System erlangen. Da derzeit noch kein Patch vorliegt, sollten Unternehmen vor allem bei Word-Dateien, die unerwartet geschickt wurden, extrem vorsichtig sein. Wahlweise sollten solche Anhänge auch am Netzwerk-Gateway abgeblockt werden.