Anzeige
Anzeige
News

Ein Word-Dokument kann beim Öffnen schadhaften Code laden und ausführen

IT-Sicherheitsforscher:innen haben ein Word-Dokument ausfindig gemacht, über das Cyber-Betrüger:innen einen Schadcode bei den unwissenden Opfern laden und ausführen können.

Von Christian Bernhard
1 Min.
Artikel merken
Anzeige
Anzeige
Office-Dokumente können Angreifern als Einfallstor dienen. (Foto: Wachiwit / Shutterstock.com)

Gelungen ist die Entdeckung Nao_sec, einem unabhängigen Cyber-Sicherheits-Forschungsteam, das keinem Unternehmen angehört. Auf Virustotal hochgeladen wurde das Dokument laut der Nachrichten-Webseite Heise.de von einer belarussischen IP-Adresse. Gefährlich wird das Dokument dann, wenn es geöffnet wird. Dabei lädt es eine HTML-Datei aus dem Internet, indem es die Word-Funktion Remote Template nutzt. Die gute Nachricht für viele Microsoft-Nutzer:innen ist, dass die aktuellen Office-Versionen laute Heise.de den Exploit offenbar verhindern.

Diese Versionen können betroffen sein

Anzeige
Anzeige

Allerdings gibt es mehrere Software-Versionen, die davon betroffen sein können. Dazu gehören Windows 10 und 11, Office 2013 und 2016 sowie Microsoft Office 2021. Der britische IT-Forscher Kevin Beaumont, der sich auf Twitter eingehend mit der Thematik beschäftigt, erklärte, dass Office den schadhaften Code über das Diagnose-Tool msdt.exe ausführe und dass Nutzer:innen die Gefährlichkeit erhöhen können, wenn sie das Dokument in ein RTF-Format ändern würden. In diesem Falle laufe der Code sogar schon, ohne dass die Datei von den Benutzer:innen geöffnet werden muss.

Bei den aktuellen Microsoft-Versionen konnte Beaumont das nicht beobachten. Er vermutet, dass Microsoft die Schwachstelle womöglich behoben habe, ohne sie zu dokumentieren.

Anzeige
Anzeige

So kann man sich vor dem Schadcode schützen

Cyberkriminelle versuchen über solche Office-Lücken, Opfern Schaden zuzufügen. Beaumont kam zum Schluss, dass Antivirusprogramm Probleme haben, diesen Exploit zu erkennen, da der Code erst einmal nicht bösartig sei, sondern dies erst werde, sobald er durch das Öffnen des Word-Dokumentes nachgeladen wird. Grund zur Panik sieht er aber noch nicht, da bislang nur vereinzelte Angriffe in Belarus beobachtet worden seien – und das Dokument eben aktiv geöffnet werden muss, um Schaden anzurichten.

Anzeige
Anzeige

Trotzdem rät er IT-Administratoren dazu, ihre Netzwerke auf unübliche Aktivitäten abzuklopfen, die Mitarbeiter:innen daran zu erinnern, dass das Öffnen von unbekannten Office-Dateien gefährlich ist und wenn möglich auf die aktuellen Microsoft-Versionen umzustellen, da der Exploit dort anscheinend erfolglos ist.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare

Community-Richtlinien

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige