![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
In den Microsoft Office Build-In-Features gibt es eine Schwachstelle, die einer Malware es erm\u00f6glicht, sich zu verbreiten. Microsoft sieht keine Schwachstelle \u2013 aber nun ist wohl eine 'qkG Ransomware' aufgetaucht, die genau diese Technik nutzt. <\/p>\n
<\/p>\n
Der italienische Sicherheitsforscher Antonio Buono hatte k\u00fcrzlich auf eine Angriffsmethode hingewiesen, mit dem Angriffe die von Microsoft eingef\u00fchrte (Makro-)Sicherheitspr\u00fcfung umgehen k\u00f6nnen, um selbstreplizierende Malware zu erstellen. Diese kann mit unschuldig aussehenden MS Word-Dokumenten verbreitet werden. Die Details des Angriffs sind in in diesem Artikel<\/a> nachzulesen.<\/p>\n Laut The Hacker News kontaktierte Antonio Buono Microsoft mit seiner Entdeckung. Microsoft lehnte es ab, dieses Problem als Sicherheitsl\u00fccke zu betrachten. Aus Sicht von Microsoft arbeitet die Funktion auf die vorgesehene Weise.<\/p>\n Nun hat das Sicherheitsteam von Trend Micro eine qkG filecoder genannte Ransomware entdeckt, die Dateien verschl\u00fcsseln kann und L\u00f6segeld erpresst. Die Ransomware ist vollst\u00e4ndig in VBA-Makros implementiert und tr\u00e4gt den Namen qkG filecoder. Trend Micro erkennt die Schadsoftware als RANSOM_CRYPTOQKKG.A. <\/p>\n Es handelt sich um eine klassische Makro-Malware, die die von Microsoft Word benutzte Standard-Dokumentvorlage (normal.dot<\/em>) infiziert. Erstellt der Benutzer ein neues, leeres Word-Dokument, basiert diese standardm\u00e4\u00dfig auf der normal.dot<\/em>. Sprich: Alle neuen, leeren Word-Dokumente sind mit der Malware infiziert (diese hat sich repliziert). <\/p>\n Aufgefallen ist die Malware, als diese am 12. November 2017 (wohl aus Vietnam) auf VirusTotal hochgeladen wurde. Laut Trend Micro ist der Ansatz wohl mehr als ein 'proof of concept', denn in der Urfassung war noch nichts von einer Bitcoin-Adresse zu finden. Zwei Tage sp\u00e4ter waren sowohl die Bitcoin-Adresse als auch eine Routine, die ein Dokument an einem bestimmten Tag und zu einer bestimmten Uhrzeit verschl\u00fcsselt, zu finden. Am n\u00e4chsten Tag sah das Security Team ein qkG-Beispiel mit einem anderen Verhalten (d.h. eine Anweisung, Dokumente mit einem bestimmten Dateinamenformat nicht zu verschl\u00fcsseln).<\/p>\n Laut Trend Micro ist qkG filecoder die erste Ransomware, die eine Datei (und einen Dateityp) verschl\u00fcsselt, und eine der wenigen dateiverschl\u00fcsselnden Malware-Beispiele, die vollst\u00e4ndig in Visual Basic for Applications (VBA) Makros geschrieben wurde. Es ist auch einer der wenigen F\u00e4lle, die ungew\u00f6hnlich b\u00f6sartigen Makrocode verwenden, um Systeme zu infizieren. Normalerweise verwenden die \u00fcblichen Malware-Familien die Makros haupts\u00e4chlich zum Herunterladen der eigentlichen Ransomware-Software. Der Fall ist im Trend Micro-Blog beschrieben<\/a>, wo sich weitere Details nachlesen lassen. <\/p>\n \u00c4hnliche Artikel:<\/strong> In den Microsoft Office Build-In-Features gibt es eine Schwachstelle, die einer Malware es erm\u00f6glicht, sich zu verbreiten. Microsoft sieht keine Schwachstelle \u2013 aber nun ist wohl eine 'qkG Ransomware' aufgetaucht, die genau diese Technik nutzt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426],"tags":[4322,6665,4715,4328],"class_list":["post-196713","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","tag-office","tag-qkg","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196713","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=196713"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/196713\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=196713"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=196713"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=196713"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}The Hacker News hat das Thema in diesem Artikel<\/a> aufgegriffen und die relevanten Informationen verkn\u00fcpft. <\/p>\n
Problem bekannt<\/h2>\n
qkG Filecoder Ransomware entdeckt<\/h2>\n
Word DDE-Schwachstelle wird aktiv ausgenutzt<\/a>
Microsoft Sicherheits-Ratschlag 4053440 zur DDE-L\u00fccke<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"