Ein Word-Dokument kann beim Öffnen schadhaften Code laden und ausführen
Gelungen ist die Entdeckung Nao_sec, einem unabhängigen Cyber-Sicherheits-Forschungsteam, das keinem Unternehmen angehört. Auf Virustotal hochgeladen wurde das Dokument laut der Nachrichten-Webseite Heise.de von einer belarussischen IP-Adresse. Gefährlich wird das Dokument dann, wenn es geöffnet wird. Dabei lädt es eine HTML-Datei aus dem Internet, indem es die Word-Funktion Remote Template nutzt. Die gute Nachricht für viele Microsoft-Nutzer:innen ist, dass die aktuellen Office-Versionen laute Heise.de den Exploit offenbar verhindern.
Diese Versionen können betroffen sein
Allerdings gibt es mehrere Software-Versionen, die davon betroffen sein können. Dazu gehören Windows 10 und 11, Office 2013 und 2016 sowie Microsoft Office 2021. Der britische IT-Forscher Kevin Beaumont, der sich auf Twitter eingehend mit der Thematik beschäftigt, erklärte, dass Office den schadhaften Code über das Diagnose-Tool msdt.exe ausführe und dass Nutzer:innen die Gefährlichkeit erhöhen können, wenn sie das Dokument in ein RTF-Format ändern würden. In diesem Falle laufe der Code sogar schon, ohne dass die Datei von den Benutzer:innen geöffnet werden muss.
Bei den aktuellen Microsoft-Versionen konnte Beaumont das nicht beobachten. Er vermutet, dass Microsoft die Schwachstelle womöglich behoben habe, ohne sie zu dokumentieren.
So kann man sich vor dem Schadcode schützen
Cyberkriminelle versuchen über solche Office-Lücken, Opfern Schaden zuzufügen. Beaumont kam zum Schluss, dass Antivirusprogramm Probleme haben, diesen Exploit zu erkennen, da der Code erst einmal nicht bösartig sei, sondern dies erst werde, sobald er durch das Öffnen des Word-Dokumentes nachgeladen wird. Grund zur Panik sieht er aber noch nicht, da bislang nur vereinzelte Angriffe in Belarus beobachtet worden seien – und das Dokument eben aktiv geöffnet werden muss, um Schaden anzurichten.
Trotzdem rät er IT-Administratoren dazu, ihre Netzwerke auf unübliche Aktivitäten abzuklopfen, die Mitarbeiter:innen daran zu erinnern, dass das Öffnen von unbekannten Office-Dateien gefährlich ist und wenn möglich auf die aktuellen Microsoft-Versionen umzustellen, da der Exploit dort anscheinend erfolglos ist.