![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sicherheitsforscher der Kaspersky-Labs haben eine undokumentierte Word-Funktion gefunden, die f\u00fcr Malware-Angriffe ausgenutzt wird.<\/p>\nSicherheitsforscher der Kaspersky-Labs haben eine undokumentierte Word-Funktion gefunden, die f\u00fcr Malware-Angriffe ausgenutzt wird.<\/p>\n
<\/p>\n
Vor einiger Zeit analysierte die Sicherheitsforscher bestimmt Spam-Mails, die im Rahmen einer Spear-Phishing-Welle (Freakyshelly) mit Word-Dokumenten verteilt wurden. Die Word-Dokumente im Anhang waren im OLE2-Format erstellt, enthielten jedoch keine Makros, Exploits oder andere aktive Inhalte.<\/p>\n
Die Forscher wunderten sich, was die Kriminellen mit einer solchen Datei im Schild f\u00fchrten. Eine genaue Untersuchung des Word-Dokumentinhalts ergab dann, dass die Datei mehrere Links zu PHP-Skripten enthielten, die sich auf Webressourcen von Drittanbietern befanden.<\/p>\n
Als die Sicherheitsforscher versuchten, diese Dateien in Microsoft Word zu \u00f6ffnen, stellten sie fest, dass Word einen der Links adressierte. Daraufhin erhielten die Angreifer Informationen \u00fcber die auf dem Computer installierte Software.<\/p>\n
GET HTTP\/1.1<\/em>
\nAccept: *\/*<\/em>
\nUser-Agent: Mozilla\/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident\/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; InfoPath.2; MSOffice 12<\/strong>)<\/em>
\nAccept-Encoding: gzip, deflate<\/em>
\nHost: evil-333.com
\nProxy-Connection: Keep-Alive<\/p><\/blockquote>\nIrgendwie schienen die Angreifer interessiert zu sein, Informationen \u00fcber das betreffende System, auf dem das Dokument in Word geladen wurde, zu erhalten. Die Sicherheitsforscher beschlossen, das Dokument n\u00e4her zu analysieren.<\/p>\n
Die Kurzfassung: Nach der Analyse stellten sie fest, dass Word eine undokumentierte Funktion besitzt, \u00fcber die sich beim simplen \u00d6ffnen des Word-Dokuments Links zu sch\u00e4dlichen externen PHP-Funktionen aufrufen lie\u00dfen. \u00dcber diese PHP-Funktionen k\u00f6nnen Informationen \u00fcber das System abgerufen werden. OpenOffice und LibreOffice besitzen diese Funktionalit\u00e4t dagegen nicht. Details lassen sich in diesem englischsprachigen Blog-Beitrag<\/a> abrufen. Danke an Leon f\u00fcr den Tipp.<\/p>\n","protected":false},"excerpt":{"rendered":"
Sicherheitsforscher der Kaspersky-Labs haben eine undokumentierte Word-Funktion gefunden, die f\u00fcr Malware-Angriffe ausgenutzt wird.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[5688,4328,507],"class_list":["post-194228","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-cyber-angriff","tag-sicherheit","tag-word"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/194228","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=194228"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/194228\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=194228"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=194228"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=194228"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}