Wie Sicherheitsforscher berichten, ist nun sogar Cryptojacking mithilfe eines Microsoft Word Dokuments möglich. Die neueste Version von Word erlaubt das Einbinden von Code, der Webseiten aufrufen kann. Aufgrund fehlender Sicherheitsvorkehrungen durch Microsoft sind den Cyberkriminellen dadurch für ihre Vorhaben Tür und Tor öffnet.

Cyberkriminelle sind ständig auf der Suche nach neuen Möglichkeiten, um ihre Umsätze auf Kosten Dritter zu maximieren. Wenn sie sogar ein häufig genutztes Programm zu eigenen Zwecken missbrauchen können, ist das für sie ein Glücksfall. Die neueste Version von MS Word erlaubt das Einbinden von Code, der zum Beispiel selbstständig ein eigenes Browserfenster oder Tab öffnen kann, um eine vorgegebene Internet-Adresse aufzurufen. Amit Dori von der Sicherheitsfirma Votiro hat auf seinem Blog als Erster auf diese Problematik aufmerksam gemacht.

Für das Ausnutzen der Lücke gibt es verschiedene Szenarien. Am wahrscheinlichsten ist es, dass der Empfänger des Word Dokumentes aufgrund des Codes eine präparierte Webseite besucht, über die ein Drive-by-Trojaner auf sein Gerät eingeschleust wird. Abhängig vom Funktionsumfang des Trojaners hat der Hacker fortan volle Kontrolle über den gekaperten PC. Er kann z.B. alle Banktransfers einsehen, Usernamen und Passwörter abfangen, DDoS-Angriffe fahren, Kreditkartendetails speichern, von dort Spam-Mails verschicken und vieles mehr. Natürlich gäbe es auch die Möglichkeit, auf dem übernommenen Gerät eine Kryptowährung wie Monero zu schürfen. Beim zweiten Bedrohungsszenario wird der Rechner nicht übernommen. Durch den Code wird lediglich eine Webseite besucht, wo zum Beispiel mittels CoinHive Monero geschürft wird. Bis der Besuch der Webseite beendet ist, läuft dieser Vorgang weiter. Da ein besonders langer Aufenthalt zum maximalen Ergebnis führt, würde sich das Anzeigen eines Films auf einer eigenen Streaming-Webseite anbieten. Amit Dori führt als dritte Möglichkeit auf, die Nutzer auf täuschend echt aussehende Webseiten von PayPal, Amazon, ihrer Hausbank, den Kreditkartenanbieter etc. zu leiten, wo ihre Usernamen und Passwörter mittels Phishing abgegriffen werden sollen.

Gegenmaßnahmen wären für Microsoft mit wenig Aufwand verbunden

Der Aufwand, den Microsoft als Gegenmaßnahme durchführen müsste, wäre gering. Die Programmierer müssten in Word lediglich eine sogenannte Whitelist einbinden. Dies ist eine Liste der per Voreinstellung erlaubten Webseiten wie YouTube oder Vimeo, die über die Textverarbeitung aufgerufen werden dürfen. Weicht die aufzurufende URL im eingebundenen Code davon ab, würde Word den Besuch einfach automatisch blockieren. Doch es gibt noch mehr Tricks: Wer sein Vorhaben als Hacker verschleiern will, könnte die aufgerufene Webseite einfach unterhalb des sichtbaren Fensters platzieren. Erst wenn man das größere Fenster oder den kompletten Browser schließt, würde man die verstecke Webseite entdecken bzw. sie verlassen. Dieses Prinzip der verborgenen Werbefenster wird gerne von weniger seriösen Online-Vermarktern angewendet.

Amit Dori hat Microsoft über die Gefahren des neuen „Features" informiert, doch der Hersteller stuft die Problematik als ungefährlich ein. Den gleichen Code kann man übrigens auch in Präsentationen für PowerPoint oder im Notizblock OneNote einfügen. Bei diesen Programmen hat Microsoft allerdings schon die erforderlichen Vorsichtsmaßnahmen ergriffen. Über den implementierten Code können dort nur Seiten besucht werden, die auf der Whitelist von Microsoft stehen und deren Besuch somit unproblematisch ist.

Wie kommen die Word Dokumente auf meinen PC?

Per Spam-Mail, was den Nachrichten einen vertrauenswürdigen Eindruck vermittelt. Oder, was bei anderer Schadsoftware auch häufig geschieht, die Hacker verbreiten sie per Usenet oder über P2P-Netzwerke im Internet. Dort sind kommerzielle Dokumente keine Seltenheit. Alternativ können Cyberkriminelle aktuellen Filmen, Programmen oder Spielen eigens dafür präparierte Word Dokumente hinzufügen, die schon vom Titel her das Interesse der Downloader wecken. Das wäre bei der Masse an Downloads besonders effektiv.

Was kann ich dagegen tun?

Der Einsatz von einem Proxy oder VPN ist sinnlos, weil damit lediglich die eigene IP-Adresse verschleiert wird. Für das JavaScript auf der Webseite bzw. den Drive-by-Trojaner ist es außerdem irrelevant, ob die Daten stets verschlüsselt übertragen werden. Die Antivirensoftware der meisten Anbieter dürfte bei derart präparierten Dokumenten nicht anschlagen. Trotzdem sollte man sie auf einem aktuellen Stand halten, um eine Infektion per Drive-by-Schadsoftware zu verhindern. Das Schürfen von Monero auf einer Webseite kann man per Werbe-Blocker oder andere Browser-Erweiterungen unterbinden. Beim Browserhersteller seiner Wahl bei den Erweiterungen einfach nach den Keywords „Anti Miner" oder „Mining Blocker" suchen. Alle populären Browser verfügen über eigene Plug-ins, die das Ausführen von CoinHive & Co. unterbinden.

Vielleicht wäre dies eine günstige Gelegenheit, über einen Wechsel nachzudenken. Kostenlose Office-Pakete wie Apache OpenOffice oder Libre Office erlauben nicht das Ausführen von speziellem Code in ihren Dokumenten. Bei Bedarf können die Dokumente mit beiden Office-Paketen auch im Word-Format oder als PDF-Dokument abgespeichert werden. Last, but not least bei empfangenen Dateien, die einem Freunde per E-Mail geschickt haben, vor dem Öffnen nachfragen, ob sie diese auch wirklich verschickt haben. Wer weiß schon, ob deren PCs nicht schon von einem anderen Trojaner übernommen wurde?

Alle Beiträge von Lars Sobiraj bei BTC-ECHO Zum Original