Ein Word-Dokument kann beim Öffnen schadhaften Code laden und ausführen

Gelungen ist die Entdeckung Nao_sec, einem unabhängigen Cyber-Sicherheits-Forschungsteam, das keinem Unternehmen angehört. Auf Virustotal hochgeladen wurde das Dokument laut der Nachrichten-Webseite Heise.de von einer belarussischen IP-Adresse. Gefährlich wird das Dokument dann, wenn es geöffnet wird. Dabei lädt es eine HTML-Datei aus dem Internet, indem es die Word-Funktion Remote Template nutzt. Die gute Nachricht für viele Microsoft-Nutzer:innen ist, dass die aktuellen Office-Versionen laute Heise.de den Exploit offenbar verhindern.
Allerdings gibt es mehrere Software-Versionen, die davon betroffen sein können. Dazu gehören Windows 10 und 11, Office 2013 und 2016 sowie Microsoft Office 2021. Der britische IT-Forscher Kevin Beaumont, der sich auf Twitter eingehend mit der Thematik beschäftigt, erklärte, dass Office den schadhaften Code über das Diagnose-Tool msdt.exe ausführe und dass Nutzer:innen die Gefährlichkeit erhöhen können, wenn sie das Dokument in ein RTF-Format ändern würden. In diesem Falle laufe der Code sogar schon, ohne dass die Datei von den Benutzer:innen geöffnet werden muss.
Bei den aktuellen Microsoft-Versionen konnte Beaumont das nicht beobachten. Er vermutet, dass Microsoft die Schwachstelle womöglich behoben habe, ohne sie zu dokumentieren.
Cyberkriminelle versuchen über solche Office-Lücken, Opfern Schaden zuzufügen. Beaumont kam zum Schluss, dass Antivirusprogramm Probleme haben, diesen Exploit zu erkennen, da der Code erst einmal nicht bösartig sei, sondern dies erst werde, sobald er durch das Öffnen des Word-Dokumentes nachgeladen wird. Grund zur Panik sieht er aber noch nicht, da bislang nur vereinzelte Angriffe in Belarus beobachtet worden seien – und das Dokument eben aktiv geöffnet werden muss, um Schaden anzurichten.
Trotzdem rät er IT-Administratoren dazu, ihre Netzwerke auf unübliche Aktivitäten abzuklopfen, die Mitarbeiter:innen daran zu erinnern, dass das Öffnen von unbekannten Office-Dateien gefährlich ist und wenn möglich auf die aktuellen Microsoft-Versionen umzustellen, da der Exploit dort anscheinend erfolglos ist.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team