Die Top-3 Office-Exploits 2025 : Altbekannte Office-Formate – Neue Gefahr? : Warum ältere Schwachstellen in Microsoft Office auch 2025 noch ein erhebliches Risiko für Unternehmen darstellen
Vertraut, gefährlich und unterschätzt: Microsoft Office bleibt 2025 ein bevorzugtes Einfallstor für Cyberangriffe – und das durch Schwachstellen, die viele längst vergessen haben. Unser Beitrag zeigt, wie altbekannte Exploits wie der Equation Editor (CVE-2017-11882) immer noch Millionen Systeme gefährden – und was Unternehmen tun müssen, um nicht ins Visier zu geraten.
Trotz Investitionen in moderne IT-Sicherheitslösungen, den Einsatz fortschrittlicher Endpoint-Protection und der zunehmenden Verlagerung in cloudbasierte Infrastrukturen bleibt Microsoft Office ein bevorzugtes Ziel für Cyberkriminelle. Dabei greifen Angreifer nicht vorrangig auf neue Zero-Day-Schwachstellen zurück, sondern setzen auf bewährte Lücken, die teils seit Jahren bekannt und vielfach gepatcht sind. Drei Exploits stechen derzeit besonders hervor:
1. Der Klassiker: CVE-2017-11882 (Equation Editor)
Die Sicherheitslücke CVE-2017-11882 betrifft den veralteten „Equation Editor“ (EQNEDT32.EXE), eine seit Langem nicht mehr unterstützte Komponente zur Formeleingabe in Word-Dokumenten. Obwohl Microsoft diese Funktion bereits 2018 entfernt hat, wird die Schwachstelle nach wie vor intensiv ausgenutzt.
Angreifer nutzen manipulierte RTF-Dateien, um über den Equation Editor beliebigen Code auf dem Zielsystem auszuführen – ohne Benutzerinteraktion. Da EQNEDT32 als separater Prozess läuft und keine modernen Schutzmechanismen wie DEP oder ASLR unterstützt, stellt er ein attraktives Ziel für Angriffe dar.
Laut Analysen von Check Point gehört die Schwachstelle weiterhin zum festen Repertoire zahlreicher Malware-Kampagnen – insbesondere im Rahmen von Phishing-Angriffen mit infizierten Office-Anhängen.
2. Excel unter Druck: CVE-2021-42292
CVE-2021-42292 beschreibt eine Umgehung der integrierten Sicherheitsmechanismen von Excel, bei der Formeln oder Makros bereits beim Öffnen ausgeführt werden – ohne vorherige Sicherheitswarnung.
Diese Technik wird insbesondere in Kombination mit Social Engineering eingesetzt: Die Opfer erhalten vermeintlich vertrauenswürdige Excel-Dateien, die beim Öffnen schädlichen Code ausführen. Aufgrund des Fehlens externer Binärkomponenten gestaltet sich die Erkennung durch klassische Antivirenlösungen als schwierig.
Zwar stehen entsprechende Patches zur Verfügung, doch zeigt sich in der Praxis, dass viele Organisationen veraltete Office-Versionen einsetzen oder ihre Update-Strategien nicht konsequent umsetzen.
3. Word als Browser: CVE-2023-21716
Die Schwachstelle CVE-2023-21716 nutzt die Möglichkeit von Word zur Darstellung von HTML-Inhalten. Speziell formatierte .doc-Dateien können so gestaltet werden, dass sie zur Ausführung von Schadcode führen (Remote Code Execution, RCE).
Diese Methode wird vor allem in zielgerichteten Kampagnen durch APT-Akteure eingesetzt. Auch in diesem Fall besteht trotz aktueller Sicherheitslösungen ein Risiko, wenn Systemkomponenten ungepatcht bleiben oder Schutzfunktionen nicht wirksam greifen.
Persistenz klassischer Angriffspfade
Die anhaltende Relevanz der genannten Schwachstellen lässt sich unter anderem auf die verbreitete Nutzung lang etablierter Office-Installationen zurückführen. Diese beinhalten häufig veraltete Add-ins oder firmenspezifische Makros, deren Abhängigkeit eine vollständige Deaktivierung gefährdeter Komponenten erschwert. Hinzu kommt: Bewährte Angriffswege behalten ihre Wirksamkeit – insbesondere, wenn sie im Kontext authentisch wirkender E-Mails oder vertrauter Arbeitsdokumente auftreten.
Zu den gängigen Angriffsformen zählen:
Der Einsatz manipulierter RTF-Dateien mit eingebetteten Payloads
Kombination von Exploits mit Dropper-Makros
Einsatz von obfuskiertem VBA-Code
Nachladen weiterer Schadkomponenten über Remote-Server
Handlungsempfehlungen
Die Beispiele zeigen, dass die genannten Schwachstellen keineswegs bloß theoretische Risiken darstellen, sondern aktiv ausgenutzt werden. Ein effektiver Schutz setzt daher sowohl technische Maßnahmen als auch organisatorische Rahmenbedingungen voraus. Bewährte Empfehlungen umfassen:
- Deaktivierung von EQNEDT32.EXE – über Gruppenrichtlinien oder manuelle Entfernung, um die Angriffsfläche durch veraltete Komponenten zu eliminieren
- Application Hardening – etwa durch Microsoft Defender Attack Surface Reduction (ASR) zur Verhinderung verdächtigen Verhaltens
- Makros konsequent deaktivieren oder nur aus vertrauenswürdigen Quellen zulassen, idealerweise mit zentralem Whitelisting
- Office-Dokumente standardmäßig im geschützten Ansichtsmodus öffnen, um potenziellen Schadcode zu isolieren
- Schulung und Sensibilisierung der Nutzerinnen und Nutzer für Social Engineering, Phishing und Dokumentenmanipulation
- Konsequentes Patch- und Asset-Management, um veraltete Office-Komponenten zu identifizieren und zu aktualisieren
On-Premise versus Microsoft 365: Sicherheitsaspekte im Vergleich
Die zugrundeliegende Office-Architektur spielt eine zentrale Rolle bei der Absicherung gegenüber bekannten Angriffsszenarien. Dabei hat die Wahl zwischen klassischer On-Premise-Installation und Microsoft 365 (M365) signifikanten Einfluss auf Patch-Zyklen, Angriffsflächen und Reaktionsfähigkeit:
On-Premise-Umgebungen ermöglichen zwar eine differenzierte Kontrolle über Systemkonfigurationen, erschweren jedoch das zentrale Management sicherheitsrelevanter Updates. Veraltete Komponenten wie der Equation Editor bleiben häufig unbemerkt aktiv. Schutzmaßnahmen wie Application Hardening oder EDR-Lösungen müssen in Eigenverantwortung umgesetzt werden – was regelmäßig an Ressourcen oder klaren Zuständigkeiten scheitert.
Microsoft 365 bietet zahlreiche Sicherheitsfunktionen nativ, darunter cloudbasierte Analyse-Engines, zentrale Verwaltung über Intune oder Microsoft Purview sowie Schutzfunktionen wie „Safe Attachments“ oder „Safe Links“. Auch die Integration von Multifaktor-Authentifizierung und rollenbasierter Zugriffskontrolle gelingt einfacher. Dem stehen jedoch neue Risiken gegenüber, etwa durch Fehlkonfigurationen oder unzureichend gesicherte Drittanbieteranbindungen.
Hybride Umgebungen sind in der Praxis weit verbreitet und stellen besondere Herausforderungen: Unterschiedliche Update-Standards und Sicherheitsniveaus treffen aufeinander, ohne dass ein durchgängiges Governance-Modell besteht. Hier entstehen häufig Sicherheitslücken.
Sowohl On-Premise- als auch Cloud-Modelle erfordern eine fundierte Sicherheitsstrategie. Entscheidend ist, dass Unternehmen ihre Office-Landschaft als Gesamtsystem betrachten – inklusive Infrastruktur, Nutzerverhalten und organisatorischer Prozesse.
Strategien zur Risikoreduktion für CISO
Für Chief Information Security Officers (CISOs) ergibt sich daraus eine doppelte Verantwortung: Neben der operativen Absicherung der Office-Systeme gilt es, bekannte Bedrohungsmuster strategisch zu priorisieren und organisatorisch zu verankern.
Exploit-Priorisierung nach realen Bedrohungsszenarien
Die Praxis zeigt, dass gerade altbekannte Angriffsvektoren weiterhin aktiv genutzt werden. Sicherheitsverantwortliche sollten sie explizit in Risikoanalysen berücksichtigen.Verbindliche Richtlinien für Office-Nutzung und Zugriffsrechte
Governance-Strukturen müssen sicherstellen, dass technische Schutzmaßnahmen verbindlich durchgesetzt werden – u.a. restriktive Makroregeln, Klassifizierung externer Dokumente und Least-Privilege-Prinzipien.Sichtbarkeit durch Logging und EDR erhöhen
Office-basierte Angriffe bleiben oft unentdeckt. Endpoint Detection and Response (EDR) sollte in der Lage sein, Office-bezogene Ereignisse zu erkennen und auszuwerten – z. B. das Starten veralteter Komponenten wie EQNEDT32.EXE.Sicherheitskultur etablieren
Schulungsmaßnahmen müssen regelmäßig stattfinden und auch Managementebenen einbeziehen – Sicherheit ist keine Einmalmaßnahme, sondern ein kontinuierlicher Prozess.Technologieentscheidungen sicherheitsorientiert treffen
Migrationen zu Microsoft 365 oder die Auswahl von Drittanbieter-Add-ins sollten stets unter Berücksichtigung potenzieller Angriffsflächen erfolgen.Dynamische Bedrohungsmodellierung
Die Relevanz bekannter Schwachstellen sollte regelmäßig überprüft und in aktuelle Bedrohungsmodelle integriert werden – insbesondere in hybriden Umgebungen.Notfallprozesse erproben
Simulierte Angriffsszenarien helfen, Schwachstellen in der Reaktionskette zu erkennen. Der Fokus liegt dabei auf Geschwindigkeit, Eskalation und Forensik.
Fazit
Die anhaltende Ausnutzung von Schwachstellen wie CVE-2017-11882 verdeutlicht, dass technische Verwundbarkeiten über Jahre hinweg relevant bleiben können. Wer seine Office-Infrastruktur nicht aktiv härtet, regelmäßige Patches versäumt oder strategische Entscheidungen allein aus Effizienzgründen trifft, bleibt angreifbar. Organisationen, die Technik, Prozesse und Awareness ganzheitlich denken, schaffen dagegen die Grundlage für nachhaltige Resilienz – auch gegenüber altbekannten Angriffsmustern.
Weiterführende Quellen
Technikexkurs: Der Exploit CVE-2017-11882 im Detail
Der Exploit CVE-2017-11882 nutzt eine Speicherverwundbarkeit im Microsoft Equation Editor (EQNEDT32.EXE) – einer 32-Bit-Komponente aus den 1990er-Jahren, die in Altinstallationen häufig noch vorhanden ist.
Ablauf:
RTF-Dokument wird geöffnet
EQNEDT32.EXE wird geladen
Buffer Overflow überschreibt Rücksprungadresse
Schadcode wird mit Benutzerrechten ausgeführt
Besonders gefährlich, weil:
Keine Benutzerinteraktion nötig
AV-Umgehung leicht möglich
Technisch simpel umzusetzen
Abwehr:
EQNEDT32.EXE löschen oder sperren
ASR-Regeln aktivieren
Anomalien über EDR-Systeme erkennen