Word-Dokument spioniert Rechner ohne aktive Elemente aus

Angreifer können über eine undokumentierte Funktion in Microsofts Textverarbeitung Word so einiges über einen Zielrechner in Erfahrung bringen. Hierfür genügt es, den Nutzer zum Öffnen eines Word-Dokumentes zu bringen, das keinerlei aktive Elemente wie VBA-Macros, Flash-Objekte oder ähnliches enthält. Für den fraglichen Angriff wird lediglich ein Word-Dokument im so genannten OLE2-Format (Object Linking and Embedding) benötigt. Dieses ermöglicht es, in ein Dokument externe Quellen einzubinden, die dynamische Inhalte liefern. Hier kann dann beispielsweise ein Feld integriert werden, das auf eine grafische Ressource verlinkt und versucht, diese abzurufen.

Das Problem liegt hier nun darin, dass der Aufruf unter Verwendung von Unicode abläuft und sich nicht auf ASCII beschränkt, was für die Eingabe eines URL völlig genügen würde. Durch die Verwendung des Unicode-Frameworks wird es möglich, den GET-Request für den vermeintlichen Abruf des Bildes mit zusätzlichen Informationen aufzuladen und diese unbemerkt nach Außen zu schicken, teilten die Security-Experten von Kaspersky mit.


Bei Spear Phishing-Kampagnen im Einsatz

Mit dem von den Sicherheitsforschern analysierten Dokument wurden so beispielsweise Angaben darüber übermittelt, welche Software auf dem System, auf dem das Dokument geöffnet wurde, installiert ist. Dies ist bei Angriffen mit einer Malware, die sich automatisch an massenhaft Rechner richtet, sicherlich nicht sonderlich interessant.

Das manipulierte Word-Dokument ist allerdings Bestandteil einer so genannten Spear Phishing-Kampagne, die sich sehr gezielt gegen eine kleine Zahl von Anwendern richtet - etwa weil sich die Täter Zugang zu einem bestimmten Unternehmensnetz verschaffen wollen. In diesem Fall sind Informationen zur genutzten Software sehr wertvoll, da aufgrund dessen der nächste Angriffsschritt mit einem speziell abgestimmten Exploit geplant werden kann. Und da das Word-Dokument keine der üblichen Angriffsmethoden verwendet, dürfte auch kaum jemandem etwas auffallen.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Interessante Artikel & Testberichte
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!