Böses per Büroprogramm : Aktuelle Angriffsvektoren im Office-Umfeld
Probleme mit der Sicherheit von Dateien aus Word, Excel und Powerpoint sind nicht neu –die eigentlich praktische Makrofunktion ist vielerorts längst deaktiviert und der monatliche Patch-Day gehört zur (lästigen) Routine. Doch inzwischen lauern neue Malware-Gefahren in Office-Dokumenten und E-Mails.
Von Marc Laliberte und Trevor Collins, Seattle (US/WA)
Mit dem Dynamic-Data-Exchange-(DDE)-Protokoll ist unlängst ein neuer Angriffsvektor für Office-Produkte in den Fokus gerückt: Wie der „Internet Security Report“ von WatchGuard belegt, wird DDE in Verbindung mit entsprechenden PowerShell-Scripts derzeit immer häufiger zur Verbreitung von Malware genutzt. Und über HTML-Darstellung und aktive Inhalte in Outlook zeigte sich neuerdings auch die Sicherheit von PGP- und S/MIME-verschlüsselten E-Mails gefährdet.
Déjà-vu
Die aktuellen Angriffe per DDE knüpfen dabei an bereits bekannte Muster an: So fühlte man sich im letzten Jahr beispielsweise durchaus an die erste große Angriffswelle mit Word-basierter Malware aus dem Jahr 1999 zurückerinnert, die – sowohl damals als auch im jetzigen Fall – keine Sicherheitswarnungen bei den Anwendern auslöste.
Verantwortlich für die letztjährige Attacke waren vermutlich Angreifer, die mit dem russischen Hackerkollektiv APT28 (auch „Fancy Bear“ genannt) in Verbindung stehen. Sie umgingen die Sicherheitshinweise, die im Rahmen des Melissa-Virus und ähnlichem Makro-Schadcode gegen Ende des 20. Jahrhunderts in Office-Programme integriert wurden. In einer Analyse vom November 2017 wurde der Anti-Malware-Anbieter McAfee auf eine APT28-Kampagne [1] aufmerksam, die eine Kombination aus Phishing und makroloser Malware zur Verteilung von Spyware einsetzte.
DDE-Missbrauch
Makrolose Malware nutzt das Microsoft-Protokoll „Dynamic Data Exchange“ (DDE), um bösartigen Code aus Office-Dokumenten auszuführen. DDE dient in Windows vor allem zum dynamischen Datenaustausch zwischen Anwendungsprogrammen und hat damit einen legitimen Nutzen. Im vorliegenden Fall wurde das Protokoll jedoch missbraucht, um andere Anwendungen wie PowerShell zu starten und den bösartigen Code darüber auszuführen.
Auch die neuen DDE-Angriffe erfordern jedoch – wie klassische Office-Makro-Angriffe – immer noch ein gewisses Maß an Benutzerinteraktion: Damit der bösartige DDE-Code ausgeführt werden kann, muss der Angreifer das Opfer davon überzeugen, den geschützten Modus zu deaktivieren und mindestens eine zusätzliche Eingabeaufforderung auszuführen. Der Unterschied zu Makroangriffen via Office besteht in der Art und Weise, wie diese Prompts dem Benutzer angezeigt werden.
Grauer Hinweis statt gelber Alarm
Ein Blick zurück: Im Nachgang der großen Wellen makrobasierter Angriffe hatte Microsoft in Office 2003 und späteren Versionen einerseits die Bereitstellung der Makro-Funktionen an sich geändert, die seither in der Regel auf „Alle Makros mit Benachrichtigung deaktivieren“ steht (Security by Default) – Makros können zwar weiterhin in den Einstellungen standardmäßig aktiviert werden, dabei sollte man aber nur einer Herkunft aus sicheren Quellen vertrauen. Zum anderen hatte Microsoft aber auch die Darstellung der zugehörigen Warnhinweise überarbeitet: Über gelbe Schilde und auffällige Sicherheitswarnungen wird der Anwender seither deutlich auf die potenzielle Gefahr aufmerksam gemacht.
Genau an dieser Stelle setzt die neue Angriffsvariante an: Anders als die optisch auffallenden Makro-Hinweise werden DDE-Ausführungsaufforderungen – teilweise ohne Sicherheitshinweis – als einfache graue Kästchen dargestellt, die den Benutzer unverfänglich beispielsweise fragen: „Diese Datei enthält Verknüpfungen zu anderen Datenquellen. Wenn Sie die Verknüpfungen aktualisieren, versucht Excel, die aktuellen Daten zu beschaffen. Wenn Sie die Verknüpfungen nicht aktualisieren, verwendet Excel die vorhandenen Daten.“
Das hört sich harmlos an und wer sich jetzt an den Umgang mit traditionellen Makros vor 20 Jahren in Office 97 erinnert fühlt, liegt nicht falsch. Denn der aktuelle Angriffsvektor über DDE wird von den Angreifern ähnlich gehandhabt – die Methode dahinter mag neu sein, sie erfordert jedoch nach wie vor eine Benutzerinteraktion in Form eines oder mehrerer Mausklicks. Der böswillige Hintergrund ist für den Anwender in diesem Fall aber ungleich schwerer zu erkennen.
Das Endergebnis ist meist identisch, egal ob traditionelle Makro-Malware oder makrolose Variante: Angreifer werden in die Lage versetzt, die Microsoft Windows Scripting Engine zum Herunterladen und Ausführen bösartiger Anhängsel zu nutzen. Während Makros entsprechenden Visual-Basic-Code direkt in ein Word-Dokument einbetten können, setzt DDE auf eine separate Anwendung wie PowerShell, um komplexe Aufgaben wie das Herunterladen und Ausführen von Malware anzustoßen.
Auszug aus Microsofts Sicherheitsempfehlung zu DDE [2]
Microsoft Office stellt mehrere sogenannte Featuresteuerungsschlüssel bereit, die in der Registry gespeichert werden. Sie dienen dazu, Produktfunktionen zu ändern sowie die Unterstützung von Branchenstandards und die Sicherheit zu verbessern. Microsoft hat diese Featuresteuerungsschlüssel dokumentiert und empfiehlt, bestimmte Featuresteuerungsschlüssel aus Sicherheitsgründen zu aktivieren. Weitere Informationen finden Sie im Netz:
- Office 2016: Sichern und Steuern des Zugriffs auf Office – https://technet.microsoft.com/de-de/library/cc179171(v=office.16).aspx
- Office 2013: Sicherheit in Office 2013 – https://docs.microsoft.com/de-de/previous-versions/office/office-2013-resource-kit/cc179171(v=office.15)
Microsoft empfiehlt allen Benutzern von Microsoft Office dringend, die sicherheitsrelevanten Featuresteuerungsschlüssel zu überprüfen und zu aktivieren. Indem Sie die in den folgenden Abschnitten beschriebenen Registrierungsschlüssel festlegen, deaktivieren Sie allerdings auch automatische Updates von Daten über verknüpfte Felder.
Am 12. Dezember 2017 hat Microsoft zudem ein Update für alle unterstützten Editionen von Microsoft Word veröffentlicht, mit dessen Hilfe Benutzer die Funktionalität des DDE-Protokolls auf der Basis ihrer Umgebung festlegen können. Weitere Informationen und den Download für das Update finden Sie im Advisory ADV170021 [4]. Am 9. Januar 2018 wurde dieses Advisory überarbeitet, um die Unterstützung zum Deaktivieren des DDE-Protokolls in allen unterstützten Editionen von Microsoft Excel hinzuzufügen.
Risikominderung für DDE-Angriffsszenarien
Wer direkte Maßnahmen ergreifen möchte, kann manuell anhand der folgenden Anweisungen Registrierungseinträge für Microsoft Office erstellen und festlegen. Wie immer, warnt Microsoft dabei vor schwerwiegenden Problemen bei unsachgemäßer Verwendung des Registrierungs-Editors und empfiehlt, eine Sicherungskopie der Windows-Registrierung zu erstellen, bevor man Änderungen vornimmt.
Die im Folgenden genannten Registrierungsschlüssel deaktivieren automatische Updates für DDEFelder und OLE-Verknüpfungen. Anschließend können Benutzer solche Updates dennoch aktivieren, indem sie mit der rechten Maustaste auf ein Feld klicken und dann „Feld aktualisieren“ auswählen.
- Deaktivierung des DDE-Features für Office 2007
[HKEY_CURRENT_USER\Software\Microsoft\
Office\12.0\Word\Options\vpref]
fNoCalclinksOnopen_90_1(DWORD)=1 - Deaktivierung des DDE-Features für Office 2010 und höhere Versionen = 14.0 für Office 2010, 15.0 für Office 2013 und 16.0 für Office 2016):
[HKEY_CURRENT_USER\Software\Microsoft\
Office\Word\Options\WordMail]
DontUpdateLinks(DWORD)=1
Who cares
Makrolose Malware-Angriffe sind aus dem gleichen Grund erfolgreich wie makrobasierte Attacken vor 20 Jahren: Eine große Anzahl von Endbenutzern liest die Popup-Meldungen nicht oder nicht richtig, bevor sie auf „Ja“ klickt – zumal wenn diese Meldungen, wie beim Einsatz über die DDE-Funktion, selbst auf den zweiten Blick nicht sonderlich verdächtig erscheinen. In Verbindung mit Social-Engineering-Taktiken lässt sich die „Trefferquote“ sogar noch erhöhen. Die Infektions-Chancen steigen mit Vorabhinweisen wie „beim Öffnen des Dokuments alle Anweisungen akzeptieren, damit die Inhalte richtig dargestellt werden“ oder „der Anweisung zustimmen, damit wirklich das aktuelle Daten und Zahlenmaterial enthalten ist“ noch deutlich weiter.
Gegenmaßnahmen im System
Glücklicherweise gibt es bereits Maßnahmen, die zum Schutz der Unternehmen und Anwender ergriffen wurden. Nach den APT28-Angriffen veröffentlichte Microsoft im November 2017 die Sicherheitsempfehlung 4053440 [2] mit Anweisungen, wie Office-Dokumente mit DDE-Steuerelementen sicher geöffnet werden können (siehe Kasten). Für Word und Excel folgten dann im Dezember und Januar Patches, mit denen die DDE-Funktionalität in allen unterstützten Anwendungen deaktiviert wurde.
Im Security Advisory ADV170021 [3] beschreibt Microsoft die unterschiedlichen Möglichkeiten für den Umgang mit DDE nach der Installation dieser Updates. Unternehmen können die Arbeitsumgebungen ihrer Anwender über entsprechende Einträge in der Registry individuell anpassen und beispielsweise auch DDE wieder generell aktivieren. Es wird wahrscheinlich nicht lange dauern, bis Microsoft auch die DDE-Sicherheitshinweise verbessert, um potenziellen Opfern bessere Hinweise auf
das Gefahrenpotenzial zu geben.
Zusätzliche Sicherheitsebenen
Aber da selbst die seit Langem vorgesehenen prominenten Sicherheitswarnungen es nicht geschafft haben, Makro-Malware den Garaus zu machen, werden wohl beide Angriffsarten auch in Zukunft eine Rolle spielen – sowohl aufgrund ungepatchter Systeme als auch wegen unachtsamer Anwender.
Man sollte daher zusätzliche Schutzmaßnahmen treffen: Viele fortschrittliche Systeme zur Malware-Abwehr mit Sandboxing-Lösungen erkennen DDE-basierte Malware bereits vorab und können verhindern, dass sie jemals in ein Unternehmensnetzwerk hineingelangt. Am wichtigsten ist jedoch, die Endbenutzer zu schulen! Sie sind es, die letztlich die Phishing-Angriffe und Tricks des Social-Engineering rechtzeitig erkennen müssen, mit denen Angreifer ihre Opfer dazu bringen, sich sorglos durch die DDE-Prompts zu klicken.
Efail – und jetzt?
E-Mails sind aus der täglichen Kommunikation von Unternehmen längst nicht mehr wegzudenken und seit jeher ein weiterer „optimaler“ Angriffsvektor. Viele E-Mail-Provider sorgen mittlerweile dafür, dass zumindest der Transportweg per SSL verschlüsselt wird – und nicht zuletzt dank der Enthüllungen von Edward Snowden stieg in den letzten Jahren auch der Anteil Ende-zu-Endeverschlüsselter Nachrichten. In der Regel kommen dafür die weitverbreiteten Verschlüsselungsstandards OpenPGP und S/MIME zum Einsatz – letzterer kann bei vielen Mailprogrammen und besonders auch bei Outlook ohne Weiteres verwendet werden. Bei OpenPGP hingegen sind zumeist Anwendungen oder Plug-ins von Drittanbietern im Spiel.
Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der belgischen Universität Leuven haben vor einiger Zeit im Umfeld dieser Standards Sicherheitslücken aufgedeckt und in einem als „Efail“ bekannten Szenario beschrieben (vgl. https://efail.de), das allerdings nicht unerhebliche Anforderungen an den Angreifer stellt: Verfügt dieser über Zugriff auf den Transportweg einer Mail, den Mailserver oder das Postfach des Empfängers (auch aus einem Backup) und hat der Empfänger in seinem Mail-Client das Ausführen von HTML und das Nachladen externer Inhalte aktiviert, dann lassen sich verschlüsselte E-Mails mit aktiven Inhalten – wie einem Hyperlink oder sogar Malware – manipulieren. Nach der erfolgreichen Entschlüsselung durch den Empfänger wird der eingeschleuste Code ausgeführt und der Klartext der E-Mail an den Angreifer ausgeleitet [4].
Fehler in der Umgebung, nicht der Verschlüsselung
Ganz wichtig: Das bedeutet nicht, dass OpenPGP und S/MIME ab sofort unsicher sind – sie sind jedoch für diese Schwachstelle bei bestimmten Voraussetzungen in der Anwendungsumgebung anfällig. Nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) kann man beide Standards weiterhin sicher einsetzen, wenn sie korrekt implementiert und sicher konfiguriert werden.
Als Sofortmaßnahme kann das Nachladen aktiver und externer Inhalte im E-Mail-Client deaktiviert werden – das schließt die Ausführung von HTML-Code aus. Zudem müssen sowohl E-Mail-Server als auch die Clients gegen unautorisierte Zugriffsversuche gesichert sein. Bei der Verwendung von OpenPGP oder S/MIME kann man darüber hinaus eine externe Anwendung zur Entschlüsselung verwenden.
Generell empfiehlt es sich – auch vor dem Hintergrund der beschriebenen Schwachstellen in Office-Dokumenten – bei E-Mails mit externem Inhalt Vorsicht walten zu lassen und die kommenden Updates der Anbieter zügig zu installieren. Administratoren können zudem über Gruppenrichtlinien vorgeben, dass aktive Inhalte blockiert oder gefiltert werden. Wie das Nachladen externer Inhalte direkt beim Anwender unterbunden werden kann, erläutern die unterschiedlichen Anbieter online – sowohl für Microsoft Outlook und Mozilla Thunderbird, aber auch Apple Mail findet man im Internet entsprechende Handlungsanweisungen.
Es ist jedenfalls nicht anzuraten, angesichts von Efail auf eine OpenPGP- oder S/MIME-Verschlüsselung zu verzichten. Der Schutz funktioniert weiterhin und solange die beschriebenen Schutzmaßnahmen eingehalten werden, wird Cyberkriminellen das Abfangen, Manipulieren und Mitlesen von E-Mails damit erheblich erschwert.
Marc Laliberte und Trevor Collins sind Analysten bei WatchGuard Technologies.
Literatur
[1] Ryan Sherstobitoff, Threat Group APT28 Slips Office Malware into Doc Citing NYC Terror Attack, Blog-Beitrag, November 2017, https://securingtomorrow.mcafee.com/mcafee-labs/apt28-threat-group-adopts-dde-techniquenyc-attack-theme-in-latest-campaign/
[2] Microsoft-Sicherheitsempfehlung 4053440, November 2017, https://technet.microsoft.com/de-de/library/
security/4053440.aspx
[3] Microsoft Security Advisory ADV170021, Dezember 2017, https://portal.msrc.microsoft.com/enUS/securityguidance/advisory/ADV170021
[4] Damian Poddebniak, Christian Dresen, Jens Müller, Fabian Ising, Sebastian Schinzel, Simon Friedberger, Juraj Somorovsky, Jörg Schwenk, Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels, Forschungs-Papier, https://efail.de/efail-attack-paper.pdf