Word-Dokument spioniert Rechner ohne aktive Elemente aus

Daten, Datenvisualisierung, Matix Bildquelle: Free for Commercial Use / Flickr
Angreifer können über eine undokumentierte Funktion in Microsofts Textverarbeitung Word so einiges über einen Zielrechner in Erfahrung bringen. Hierfür genügt es, den Nutzer zum Öffnen eines Word-Dokumentes zu bringen, das keinerlei aktive Elemente wie VBA-Macros, Flash-Objekte oder ähnliches enthält.
Für den fraglichen Angriff wird lediglich ein Word-Dokument im so genannten OLE2-Format (Object Linking and Embedding) benötigt. Dieses ermöglicht es, in ein Dokument externe Quellen einzubinden, die dynamische Inhalte liefern. Hier kann dann beispielsweise ein Feld integriert werden, das auf eine grafische Ressource verlinkt und versucht, diese abzurufen.

Das Problem liegt hier nun darin, dass der Aufruf unter Verwendung von Unicode abläuft und sich nicht auf ASCII beschränkt, was für die Eingabe eines URL völlig genügen würde. Durch die Verwendung des Unicode-Frameworks wird es möglich, den GET-Request für den vermeintlichen Abruf des Bildes mit zusätzlichen Informationen aufzuladen und diese unbemerkt nach Außen zu schicken, teilten die Security-Experten von Kaspersky mit.


Bei Spear Phishing-Kampagnen im Einsatz

Mit dem von den Sicherheitsforschern analysierten Dokument wurden so beispielsweise Angaben darüber übermittelt, welche Software auf dem System, auf dem das Dokument geöffnet wurde, installiert ist. Dies ist bei Angriffen mit einer Malware, die sich automatisch an massenhaft Rechner richtet, sicherlich nicht sonderlich interessant.

Das manipulierte Word-Dokument ist allerdings Bestandteil einer so genannten Spear Phishing-Kampagne, die sich sehr gezielt gegen eine kleine Zahl von Anwendern richtet - etwa weil sich die Täter Zugang zu einem bestimmten Unternehmensnetz verschaffen wollen. In diesem Fall sind Informationen zur genutzten Software sehr wertvoll, da aufgrund dessen der nächste Angriffsschritt mit einem speziell abgestimmten Exploit geplant werden kann. Und da das Word-Dokument keine der üblichen Angriffsmethoden verwendet, dürfte auch kaum jemandem etwas auffallen. Daten, Datenvisualisierung, Matix Daten, Datenvisualisierung, Matix Free for Commercial Use / Flickr
Diese Nachricht empfehlen
Kommentieren14
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 12:20 Uhr Anker SoundCore - Mobiler Bluetooth 4.0 LautsprecherAnker SoundCore - Mobiler Bluetooth 4.0 Lautsprecher
Original Amazon-Preis
42,99
Im Preisvergleich ab
39,99
Blitzangebot-Preis
32,99
Ersparnis zu Amazon 23% oder 10

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden