Undokumentiertes Word-Features für Angriffe benutzt

Sicherheitsforscher der Kaspersky-Labs haben eine undokumentierte Word-Funktion gefunden, die für Malware-Angriffe ausgenutzt wird.


Anzeige

Vor einiger Zeit analysierte die Sicherheitsforscher bestimmt Spam-Mails, die im Rahmen einer Spear-Phishing-Welle (Freakyshelly) mit Word-Dokumenten verteilt wurden. Die Word-Dokumente im Anhang waren im OLE2-Format erstellt, enthielten jedoch keine Makros, Exploits oder andere aktive Inhalte.

Die Forscher wunderten sich, was die Kriminellen mit einer solchen Datei im Schild führten. Eine genaue Untersuchung des Word-Dokumentinhalts ergab dann, dass die Datei mehrere Links zu PHP-Skripten enthielten, die sich auf Webressourcen von Drittanbietern befanden.

Als die Sicherheitsforscher versuchten, diese Dateien in Microsoft Word zu öffnen, stellten sie fest, dass Word einen der Links adressierte. Daraufhin erhielten die Angreifer Informationen über die auf dem Computer installierte Software.

GET HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.2; MSOffice 12)
Accept-Encoding: gzip, deflate
Host: evil-333.com
Proxy-Connection: Keep-Alive

Irgendwie schienen die Angreifer interessiert zu sein, Informationen über das betreffende System, auf dem das Dokument in Word geladen wurde, zu erhalten. Die Sicherheitsforscher beschlossen, das Dokument näher zu analysieren.


Anzeige

Die Kurzfassung: Nach der Analyse stellten sie fest, dass Word eine undokumentierte Funktion besitzt, über die sich beim simplen Öffnen des Word-Dokuments Links zu schädlichen externen PHP-Funktionen aufrufen ließen. Über diese PHP-Funktionen können Informationen über das System abgerufen werden. OpenOffice und LibreOffice besitzen diese Funktionalität dagegen nicht. Details lassen sich in diesem englischsprachigen Blog-Beitrag abrufen. Danke an Leon für den Tipp.


Anzeige

Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Undokumentiertes Word-Features für Angriffe benutzt

  1. Herr IngoW sagt:

    Office 12 ist ja nicht mehr so jung. Sind die aktuellen Versionen auch betroffen?

  2. Tim sagt:

    Das ist ja fast so witzig, wie diese Geschichte mit dem Excel Passwort VelvetSweatshop

    https://www.youtube.com/watch?v=AteFjqiY1eQ

    Funktioniert das heute eigentlich noch?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.