{"id":193117,"date":"2017-08-17T01:34:00","date_gmt":"2017-08-16T23:34:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=193117"},"modified":"2018-11-05T08:37:48","modified_gmt":"2018-11-05T07:37:48","slug":"exploit-fr-microsoft-powerpoint-trickst-antivirus-aus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/08\/17\/exploit-fr-microsoft-powerpoint-trickst-antivirus-aus\/","title":{"rendered":"Exploit f&uuml;r Microsoft PowerPoint trickst Antivirus aus"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Eine (von Microsoft bereits gepatchte) Sicherheitsl\u00fccke in Microsofts OLE-Schnittstelle erm\u00f6glicht es Angreifern, Malware \u00fcber PowerPoint-Dateien zu verbreiten und ggf. Antivirus-Software auszutricksen (falls diese in den Signaturen den Sch\u00e4dling noch nicht kennt).<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/b8820bdb64d34f4e8066735304b504c6\" width=\"1\" height=\"1\"\/>Darauf weisen Sicherheitsforscher von Trend Micro in <a href=\"https:\/\/web.archive.org\/web\/20181029062934\/https:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/cve-2017-0199-new-malware-abuses-powerpoint-slide-show\/\" target=\"_blank\">diesem Blog-Beitrag<\/a> hin. Der Angriffsvektor wurde bereits vor einiger Zeit von der <a href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/threat-encyclopedia\/web-attack\/3147\/dealing-with-the-mess-of-dridex\" target=\"_blank\">Tridex-Banking-Trojaners<\/a> verwendet. Die Angreifer nutzten im Exploit die Sicherheitsl\u00fccke CVE-2017-0199 aus, die im Windows Object Linking and Embedding (OLE) Interface von Microsoft Office existiert, um Schadsoftware zu verbreiten. Microsoft hat im April 2017 einen Patch zum Schlie\u00dfen dieser L\u00fccke bereitgestellt (<a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2017-0199\" target=\"_blank\">siehe<\/a>).<\/p>\n<p><a href=\"https:\/\/web.archive.org\/web\/20170825012228\/http:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/files\/2017\/08\/Figure_01_CVE-2017-0199_infection-chain.jpg\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" title=\"PowerPoint-Angriffsvektor\" alt=\"PowerPoint-Angriffsvektor\" src=\"https:\/\/web.archive.org\/web\/20170825012228\/http:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/files\/2017\/08\/Figure_01_CVE-2017-0199_infection-chain.jpg\" width=\"633\" height=\"518\"\/><\/a><br \/>(Quelle: Trend Micro)<\/p>\n<p>Jetzt sind die Sicherheitsforscher auf eine neue Variante gesto\u00dfen, die PowerPoint-Dateien zur Verbreitung von Malware verwendet. Der Ablauf des Angriffs ist in obigem Diagramm zu sehen. Eine E-Mail mit einer PowerPoint-Datei wird an die Opfer geschickt. Dann sorgt ein Trojaner f\u00fcr den Download der Datei <em>logo.doc <\/em>vom C&amp;C-Server der Cyberkriminellen. Diese Datei l\u00e4dt dann die Programmdatei <em>RATMAN.exe <\/em>nach, die dann eine Remote Code-Ausf\u00fchrung auf dem Benutzersystem erm\u00f6glicht. <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"E-Mail mit Anhang\" alt=\"E-Mail mit Anhang\" src=\"https:\/\/web.archive.org\/web\/20170825012229\/http:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/files\/2017\/08\/Figure_02_spear-phishing-email.jpg\" width=\"595\" height=\"340\"\/><br \/>(Quelle: Trend Micro)<\/p>\n<p>Die Datei <em>logo.doc <\/em>enth\u00e4lt dabei XML und JavaScript-Code, um \u00fcber die PowerShell die Datei <em>RATMAN.EXE<\/em> auszuf\u00fchren. Details sind <a href=\"https:\/\/web.archive.org\/web\/20181029062934\/https:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/cve-2017-0199-new-malware-abuses-powerpoint-slide-show\/\" target=\"_blank\">diesem Trend Micro-Beitrag<\/a> zu entnehmen.  <\/p>\n<p>Da diese Sicherheitsl\u00fccke bei gepatchten Systemen geschlossen wurde, d\u00fcrfte dort keine Gefahr mehr drohen. Kritisch wird es aber, falls der Patch fehlt und die Antivirussoftware neue Varianten der Malware noch nicht kennt. Die IT sollte ihre Anwender aber daf\u00fcr sensibilisieren, dass auch PowerPoint-Dateien in Mail-Anh\u00e4ngen Schadsoftware aufweisen kann.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine (von Microsoft bereits gepatchte) Sicherheitsl\u00fccke in Microsofts OLE-Schnittstelle erm\u00f6glicht es Angreifern, Malware \u00fcber PowerPoint-Dateien zu verbreiten und ggf. Antivirus-Software auszutricksen (falls diese in den Signaturen den Sch\u00e4dling noch nicht kennt).<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[1737,1782],"class_list":["post-193117","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-powerpoint","tag-sicherheitslucke"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/193117","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=193117"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/193117\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=193117"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=193117"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=193117"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}