Microsoft Office im Schwachstellen-Check

Die Bedrohungslandschaft von Microsoft Office sowie die Technologien, die uns dabei helfen, verwandte Zero-Day-Exploits aufzuspüren, standen im Mittelpunkt des Vortrags unserer Forscher auf dem SAS 2019.

Bei einigen Vorträgen unserer SAS-Konferenz 2019 geht es nicht ausschließlich um hoch entwickelte APT-Angriffe, sondern um den täglichen Trott unserer Anti-Malware-Forscher. Aus diesem Grund haben unsere Experten Boris Larin, Vlad Stolyarov und Alexander Liskin auf dem diesjährigen SAS 2019 eine Untersuchung namens „Catching multilayered zero-day attacks on MS Office“ präsentiert, die sich mit den zahlreichen Schwachstellen von Microsoft Office beschäftigt. Obwohl der Schwerpunkt ihrer Forschung vielmehr auf den Instrumenten, die ihnen bei der Malware-Analyse helfen, lag, machten sie darüber hinaus auf die aktuelle Bedrohungslandschaft von Microsoft Office aufmerksam.

Der Wandel, den die Bedrohungslandschaft innerhalb der letzten zwei Jahre durchlebt hat, ist beträchtlich. Bei ihrer Untersuchung verglichen unsere Experten, ob und inwiefern sich spezifische Ziel-Plattformen in Bezug auf die Anzahl der angegriffenen Nutzer von 2016 bis Ende des letzten Jahres verändert haben. Dabei stellten sie fest, dass sich Cyberkriminelle zunehmend auf MS-Office-Schwachstellen konzentriert haben, während der Exploit webbasierter Sicherheitslücken vergleichsweise abnahm. Hierbei sorgte vor allem das Ausmaß des Wandels bei unseren Experten für Überraschung: Denn wie die nachfolgende Grafik zeigt, entwickelte sich MS Office in den letzten Monaten des Jahres, mit einem Anteil von mehr als 70% aller Angriffe, zur meist anvisierten Plattform.

Im letzten Jahr tauchten nach und nach immer mehr Zero-Day-Exploits für MS Office auf. Diese beginnen in der Regel mit einer zielgerichteten Kampagne, werden aber früher oder später veröffentlicht und schließlich in einen bösartigen Document Builder integriert. Dabei hat sich die Umschlagsdauer jedoch erheblich verkürzt. Im Fall von CVE-2017-11882 – die erste, von unseren Experten entdeckte Schwachstelle des Formel-Editors – wurde am selben Tag der Veröffentlichung des Proof of Concept eine umfangreiche Spam-Kampagne ins Leben gerufen. Das gleiche gilt auch für andere Schwachstellen: Sobald ein technischer Bericht für eine Sicherheitslücke veröffentlicht wird, erscheint innerhalb weniger Tage ein passender Exploit dazu auf dem Schwarzmarkt. Die Bugs selbst sind deutlich weniger komplex geworden, und manchmal ist eine detaillierte Rezension alles, was Cyberkriminelle benötigen, um einen funktionierenden Exploit zu erstellen.

Ein Blick auf die am häufigsten ausgenutzten Schwachstellen des Jahres 2018 bestätigt genau das: Malware-Autoren bevorzugen einfache, logische Bugs. Aus diesem Grund sind die Schwachstellen CVE-2017-11882 und CVE-2018-0802 des Formel-Editors mittlerweile zwei der am häufigsten ausgenutzten MS-Office-Bugs. Denn: Sie sind zuverlässig und funktionieren für jede Word-Version, die in den letzten 17 Jahren veröffentlicht wurde. Und was noch viel wichtiger ist: die Erstellung eines Exploits erfordert keine fortgeschrittenen Fähigkeiten oder Kenntnisse. Das liegt unter anderem daran, dass das Binärprogramm des Formel-Editors über keine der modernen Schutz- und Schadensminderungmaßnahmen verfügt, die man eigentlich von einer Anwendung im Jahr 2018 erwarten würde.

Übrigens befindet sich keine der am häufigsten ausgenutzten Schwachstellen in MS Office selbst, sondern vielmehr in verwandten Komponenten des Pakets.

Aber wie kann so etwas heutzutage überhaupt noch passieren?

Nun ja, die Angriffsfläche von MS Office ist groß und es gibt zahlreiche komplizierte Dateiformate, die berücksichtigt werden müssen; ebenso wie die Integration mit Windows und die Interoperabilität. Und aus sicherheitstechnischer Sicht am wichtigsten: Viele Entscheidungen, die Microsoft bei der Erstellung von Office getroffen hat, sind mittlerweile nicht mehr relevant, aber ihre Änderung würde die Rückwärtskompatibilität maßgebend beeinträchtigen.

Allein im Jahr 2018 sind wir auf mehrere Zero-Day-Schwachstellen gestoßen, die in der Wildnis ausgenutzt wurden; dazu gehört auch CVE-2018-8174 (Schwachstelle in der Windows VBScript Engine zur Remotecodeausführung). Diese Schwachstelle ist besonders interessant, da der Exploit in einem Word-Dokument gefunden wurde, die Sicherheitslücke jedoch eigentlich im Internet Explorer liegt. Weitere Informationen finden Sie in diesem Beitrag auf Securelist.

So machen wir Schwachstellen ausfindig

Die Sicherheitsprodukte von Kaspersky für Endpunkte verfügen über sehr erweiterte Heuristikfunktionen zur Bedrohungserkennung, die über MS Office-Dokumente bereitgestellt werden. Die Heuristik-Engine kennt alle Dateiformate und Verschleierungsmethoden von Dokumenten und dient als erste Verteidigungslinie. Wenn wir ein bösartiges Objekt entdecken, stufen wir dieses nicht nur als gefährlich ein, sondern lassen es zusätzliche Sicherheitsebenen passieren. Eine besonders erfolgreiche Technologie ist beispielsweise die Sandbox.

In der Informationssicherheit werden Sandboxen verwendet, um eine unsichere Umgebung von einer sicheren (oder umgekehrt) zu isolieren, um den Exploit von Schwachstellen zu vermeiden und Schadcode zu analysieren. Unsere Sandbox ist ein System zur Malware-Erkennung, das ein verdächtiges Objekt in einer virtuellen Maschine mit einem voll ausgestatteten Betriebssystem ausführt und die schädliche Aktivität des Objekts durch die Analyse seines Verhaltens erkennt. Es wurde vor einigen Jahren für den Einsatz in unserer eigenen Infrastruktur entwickelt und wurde dann Teil unserer Kaspersky Anti Targeted Attack Platform.

Microsoft Office ist ein beliebtes Zielobjekt für Cyberkriminelle und wird es auch in Zukunft bleiben. Angreifer halten nach den einfachsten Zielen Ausschau und nutzen veralterte Features aus. Um Ihr Unternehmen angemessen zu schützen, empfehlen wir Ihnen die Installation einer Sicherheitslösunge, deren Wirksamkeit durch die lange Liste der gefundenen CVEs bewiesen werden kann.

Tipps