In dieser ständig wachsenden und sich ständig verändernden Online-Welt sind Bedrohungen so weit verbreitet und schwer zu erkennen, dass es nur eine Frage der Sicherheit ist, Angreifern immer einen Schritt voraus zu sein.
Neue Forschungsergebnisse des Cybersicherheitsunternehmens Sophos zeigen, dass dritte Angreifer einen öffentlich zugänglichen experimentellen Office-Exploit ausnutzen und damit Formbook-Malware verbreiten konnten.
Den Angreifern ist es angeblich gelungen, einen Exploit zu erstellen, mit dem eine kritische Sicherheitslücke in Microsoft Office zur Remote-Codeausführung umgangen werden kann, die Anfang des Jahres behoben wurde.
Angreifer umgehen einen kritischen Microsoft Office-Patch mit einem Exploit
Sie müssen nicht so lange zurückgehen, um zu verstehen, wie alles begann. Bereits im September hat Microsoft einen Patch veröffentlicht, um Angreifer daran zu hindern, in ein Word-Dokument eingebetteten Schadcode zu starten.
Diese Sicherheitsanfälligkeit lädt automatisch ein Microsoft Cabinet (CAB)-Archiv, das eine schädliche ausführbare Datei enthält.
Dies wurde erreicht, indem der ursprüngliche Exploit überarbeitet und das bösartige Word-Dokument in einem speziell gestalteten RAR-Archiv abgelegt wurde, das eine Form von Exploit bot, mit der der ursprüngliche Patch erfolgreich umgangen werden konnte.
Darüber hinaus wurde dieser neueste Exploit etwa 36 Stunden lang per Spam an seine Opfer geliefert, bevor er vollständig verschwand.
Sicherheitsforscher von Sophos glauben, dass die begrenzte Lebensdauer des Exploits bedeuten könnte, dass es sich um ein Testexperiment handelte, das für zukünftige Angriffe verwendet werden könnte.
Die Angriffsversionen vor dem Fix verwendeten bösartigen Code, der in einer Microsoft Cabinet-Datei verpackt war. Als der Patch von Microsoft diese Lücke schloss, entdeckten Angreifer ein Konzept, das zeigte, wie Malware in einem anderen komprimierten Dateiformat, einem RAR-Archiv, kombiniert werden kann. Früher wurden RAR-Archive verwendet, um Schadcode zu verbreiten, doch der hier verwendete Prozess war ungewöhnlich komplex. Dies war höchstwahrscheinlich nur möglich, weil der Umfang des Patches sehr eng definiert war und das Programm WinRAR, das Benutzer zum Öffnen von RAR benötigen, sehr fehlertolerant ist und sich anscheinend nicht darum zu kümmern, wenn das Archiv im falschen Format vorliegt, zum Beispiel wegen Fälschung …
Es wurde auch entdeckt, dass die Angreifer ein abnormales RAR-Archiv erstellt haben, in dem ein PowerShell-Skript ein bösartiges Word-Dokument hinzugefügt hat, das im Archiv gespeichert ist.
Um die Verbreitung dieses gefährlichen RAR-Archivs und seines bösartigen Inhalts zu erleichtern, erstellten und verbreiteten die Angreifer Spam-Nachrichten, in denen die Opfer aufgefordert wurden, die RAR-Datei zu entpacken, um auf das Word-Dokument zuzugreifen.
Denken Sie also besser daran, wenn Sie mit dieser Software umgehen und wenn etwas auch nur im Entferntesten verdächtig erscheint.
Sicherheit sollte für uns alle beim Surfen im Internet oberste Priorität haben. Einfache Handlungen, die zunächst harmlos erscheinen mögen, können eine Kette schwerwiegender Ereignisse und Konsequenzen auslösen.
Waren Sie auch schon Opfer dieser Malware-Angriffe? Teilen Sie Ihre Erfahrungen mit uns im Kommentarbereich unten.
Schreibe einen Kommentar