Windows 10: Office kann den neuen Ransomware-Schutz aushebeln

Aktuell köchelt eine Diskussion um eine vermeintliche Schwachstelle im neuen Ransomware-Schutz, den Microsoft in Windows 10 integrierte, vor sich hin. Tatsächlich tut sich hier ein Weg auf, geschützte Daten trotzdem unzugänglich zu machen. Einen Bug stellt das nicht direkt dar - wohl aber eine Design-Schwäche, die die Wirkung der Security-Funktion reduziert.
Kriminalität, Geld, Erpressung, Mafia
Public Domain
Der vielbeachtete Ransomware-Schutz trägt offiziell die Bezeichnung Controlled Folder Access (CFA). Dieser sorgt dafür, dass Anwender Ordner definieren können, in denen nur noch bestimmte Applikationen Schreibrechte haben. Ransomware, die in Form einer klassischen Malware auf dem Rechner zur Ausführung kommt, könnte die Daten in dem Verzeichnis mangels Schreibrechten nicht mehr Verschlüsseln und den User somit auch nicht mit ihnen erpressen.

Der Sicherheitsforscher Yago Jesus von der Firma Security by Default wies nun aber darauf hin, dass CFA keineswegs einen Rundumschutz vor Ransomware darstellt. Denn es gibt ja eben noch die Anwendungen mit Schreibrechten. Neben jenen, die der Anwender definiert hat, gehören zu dieser Gruppe auch alle Applikationen, denen Microsoft vertraut - also natürlich die Microsoft Office-Applikationen, wie die Kollegen von Heise anmerkten.
Windows Defender Exploit GuardDer kontrollierte Ordnerzugriff... Windows Defender Exploit Guard...schützt vor Malware-Attacken
Das bedeutet letztlich, dass sich eine Ransomware lediglich die Skripting-Funktionen der Office-Anwendungen zunutze machen muss, um letztlich die gewünschte Wirkung zu erzielen. Wie das prinzipiell funktionieren kann, demonstrierte der Sicherheitsforscher anhand eines kleinen Python-Skripts, mit dem er die Inhalte von Word-Dokumenten einfach mit einem eigenen Passwort-Schutz versah.


Mit Social Engineering zum Erfolg

Da Microsoft in den letzten Jahren doch einiges für die Sicherheit seiner Produkte getan hat und es heute nicht mehr so trivial wie einst ist, Systeme mit Makroviren oder Ähnlichem zu attackieren, bedarf es schon etwas Fingerspitzengefühls, auf diese Weise erfolgreich zu sein. Allerdings muss man dabei bedenken, dass diverse Ransomware-Kampagnen durch einen ordentlichen Anteil an Social Engineering zum Erfolg kamen.

Es stellt letztlich also nicht die größte Hürde dar, eine nennenswerte Zahl von Nutzern dazu zu bringen, ein entsprechendes Skript aus einer Spam-Mail heraus zu starten und einen erfolgreichen Ransomware-Angriff über Office-Applikationen auszuführen. Und Anwender, die man zu einer solchen Mithilfe bringen kann, dürften auch von einem Passwort-Schutz auf ihren Word-Dateien hinreichend beeindruckt sein, um ihnen den Zugangscode dann gegen ein Lösegeld zu verkaufen.

Das Sicherheits-Team Microsofts hat den entsprechenden Bug-Report analysiert und meldete sich mit der Einschätzung zurück, dass man es hier nicht mit einer richtigen Sicherheitslücke zu tun habe. Immerhin handle es sich bei dem Ransomware-Schutz nicht um ein klassisches Security-System, sondern eben nur um einen eingeschränkten zusätzlichen Schutz-Layer. Es ist daher nicht zu erwarten, dass hier ein Patch die Folge sein wird. Die Microsoft-Entwickler erklärten allerdings, trotzdem an einer besseren Lösung arbeiten zu wollen. Wann diese allerdings verfügbar sein wird und wie sie aussehen soll, ist aktuell noch völlig unklar.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 08:29 Uhr Goldge 24Pcs Schlüsselanhänger Taschenlampe Mini Lampe 4cmGoldge 24Pcs Schlüsselanhänger Taschenlampe Mini Lampe 4cm
Original Amazon-Preis
14,99
Im Preisvergleich ab
?
Blitzangebot-Preis
13,59
Ersparnis zu Amazon 9% oder 1,40
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!