- Angreifer haben einen neuen Weg in Ihren Computer gefunden und alle Ihre Daten preisgegeben.
- Dieses Mal nutzten geniale Cyberkriminelle einen kritischen Microsoft Office-Patch aus.
In dieser ständig wachsenden und sich ständig verändernden Online-Welt sind Bedrohungen so weit verbreitet und so schwer zu erkennen, dass es nur eine Frage des Schutzes ist, den Angreifern einen Schritt voraus zu sein.
Neue Forschungsergebnisse von Cybersicherheitsunternehmen veröffentlicht Sophos, zeigen, dass böswillige Dritte in der Lage waren, einen öffentlich verfügbaren Proof-of-Concept-Office-Exploit zu nutzen und ihn zu einer Waffe zu machen, um die Formbook-Malware zu verbreiten.
Angeblich ist es Cyberkriminellen tatsächlich gelungen, einen Exploit zu erstellen, mit dem eine kritische Sicherheitslücke in Microsoft Office zur Remote-Codeausführung umgangen werden kann, die Anfang des Jahres gepatcht wurde.
Angreifer umgehen kritischen Microsoft Office-Patch mit Exploit
Sie müssen nicht lange in der Zeit zurückreisen, um herauszufinden, wo alles begann. Bereits im September hat Microsoft einen Patch veröffentlicht, der Angreifer daran hindern soll, in ein Word-Dokument eingebetteten Schadcode auszuführen.
Dank dieses Fehlers würde automatisch ein Microsoft Cabinet (CAB)-Archiv heruntergeladen, das eine schädliche ausführbare Datei enthält.
Dies wurde erreicht, indem der ursprüngliche Exploit überarbeitet und das bösartige Word-Dokument in ein speziell erstelltes RAR-Archiv, das eine Form des Exploits lieferte, mit der es erfolgreich umgangen werden konnte Original-Patch.
Darüber hinaus wurde dieser neueste Exploit etwa 36 Stunden lang per Spam-E-Mail an seine Opfer geliefert, bevor er vollständig verschwand.
Die Sicherheitsforscher von Sophos glauben, dass die begrenzte Lebensdauer des Exploits bedeuten könnte, dass es sich um ein Probelauf-Experiment handelte, das für zukünftige Angriffe verwendet werden könnte.
Bei den Pre-Patch-Versionen des Angriffs handelte es sich um bösartigen Code, der in eine Microsoft Cabinet-Datei gepackt war. Als der Patch von Microsoft diese Lücke schloss, entdeckten Angreifer einen Machbarkeitsnachweis, der zeigte, wie man die Malware in ein anderes komprimiertes Dateiformat, ein RAR-Archiv, bündeln konnte. RAR-Archive wurden schon früher verwendet, um Schadcode zu verbreiten, aber der hier verwendete Prozess war ungewöhnlich kompliziert. Es war wahrscheinlich nur deshalb erfolgreich, weil der Aufgabenbereich des Patches sehr eng definiert war und weil das WinRAR-Programm, das Benutzer öffnen müssen das RAR ist sehr fehlertolerant und scheint es nicht zu stören, wenn das Archiv beispielsweise fehlerhaft ist, weil es manipuliert wurde.
Es wurde auch festgestellt, dass die verantwortlichen Angreifer ein abnormales RAR-Archiv erstellt hatten, dem ein PowerShell-Skript vorangestellt war, das ein im Archiv gespeichertes bösartiges Word-Dokument voranstellte.
Um bei der Verbreitung dieses gefährlichen RAR-Archivs und seiner bösartigen Inhalte zu helfen, haben die Angreifer und verteilte Spam-E-Mails, in denen die Opfer aufgefordert wurden, die RAR-Datei zu dekomprimieren, um auf Word zuzugreifen dokumentieren.
Denken Sie also besser daran, wenn Sie mit dieser Software umgehen und wenn etwas auch nur im Entferntesten verdächtig erscheint.
Sicherheit sollte für uns alle im Umgang mit dem Internet oberste Priorität haben. Einfache Handlungen, die zunächst harmlos erscheinen mögen, können schwerwiegende Ereignisketten und Konsequenzen auslösen.
Waren Sie auch Opfer dieser Malware-Angriffe? Teilen Sie Ihre Erfahrungen mit uns im Kommentarbereich unten.