Outlook-Nutzer durch Lücke in Microsoft DDE gefährdet

SicherheitSicherheitsmanagement

Das Microsoft-Protokoll Dynamic Data Exchange (DDE) kann missbraucht werden, um mittels manipulierter Office-Anhänge, etwa Word- oder Excel-Dateien, ohne Nutzung von Makros Malware zu starten. Jetzt hat Sophos davor gewarnt, dass über die Lücke auch Angriffe per Outlook-Einladungen möglich sind.

Experten des IT-Security-Anbieters Sophos haben vor einer weiteren Möglichkeit gewarnt, eine Sicherheitslücke im Microsoft-Protokoll Dynamic Data Exchange (DDE) auszunutzen. Offenbar sind darüber auch Angriffe auf Outlook-Nutzer möglich.

Sophos (Grafik: Sophos)

Bislang waren lediglich Angriffe mit manipulierten Office-Dateien – Word oder Excel – bekannt. Die sind allerdings deshalb tückisch, weil sie ohne den Aufruf von Makros auskommen, um die Malware zu starten. Nun entdeckte Sophos, dass sich DDE-Angriffe auch in Microsoft Outlook durchführen lassen. Das geht mit E-Mails und Kalendereinträgen im Rich Text Format (RTF).

Die Angreifer müssen dabei den Nutzer nicht mehr überzeugen, einen infizierten Dateianhang zu öffnen. Der Schadcode kann vielmehr direkt in den Nachrichtentext integriert werden. Dadurch wird der Angriff einfacher durchführbar.

DDEAUTO-Attack (Screenshot: Sophos)
Die DDE-Attacke lässt sich von Nutzern relativ leicht abwenden, wenn sie hier auf “Nein” klicken (Screensot: Sophos)

Allerdings lässt er sich von einem aufmerksamen Nutzer auch einfach abwehren. Anhänge, E-Mails und Kalendereinträge zeigen nämlich ein Pop-up an, bevor sie die DDEAUTO genannte Attacke starten. Es reicht daher, auf den Dialogboxen einfach auf “Nein” zu klicken.

Das sollten Nutzer aber wissen, tendieren sie doch dazu, bei derartigen Abfragen gewohnheitsmäßig auf “Ja” oder “Weiter” zu klicken. Im konkreten Fall, werden sie zunächst gefragt, ob sie das aktuelle Dokument mit Daten eines verbundenen Dokuments aktualisieren wollen. Sollten sie da zustimmen, bekommen sie noch eine zweite Chance, den Angriff abzuwehren, denn sie werden – allerdings mit wechselndem Text – auch gefragt, ob sie die Anwendung C:\windows\system32\cmd.exe? starten wollen. Wer mindestens einmal auf “Nein” klickt, hat den Angriff unterbunden.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Alternativ können Outlook-Nutzer sich einfach auch alle E-Mails im Plain Text Format anzeigen lassen. Auch das verhindert die Ausführung des Schadcodes. Allerdings sind dann möglicherweise für sie Inhalte von E-Mails im HTM-Format nicht mehr vollständig sichtbar.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen