{"id":19022,"date":"2019-04-11T13:43:21","date_gmt":"2019-04-11T11:43:21","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=19022"},"modified":"2022-05-05T14:21:10","modified_gmt":"2022-05-05T12:21:10","slug":"ms-office-vulnerabilities-sas-2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/ms-office-vulnerabilities-sas-2019\/19022\/","title":{"rendered":"Microsoft Office im Schwachstellen-Check"},"content":{"rendered":"<p>Bei einigen Vortr\u00e4gen unserer SAS-Konferenz 2019 geht es nicht ausschlie\u00dflich um hoch entwickelte APT-Angriffe, sondern um den t\u00e4glichen Trott unserer Anti-Malware-Forscher. Aus diesem Grund haben unsere Experten Boris Larin, Vlad Stolyarov und Alexander Liskin auf dem diesj\u00e4hrigen SAS 2019 eine Untersuchung namens \u201eCatching multilayered zero-day attacks on MS Office\u201c pr\u00e4sentiert, die sich mit den zahlreichen Schwachstellen von Microsoft Office besch\u00e4ftigt. Obwohl der Schwerpunkt ihrer Forschung vielmehr auf den Instrumenten, die ihnen bei der Malware-Analyse helfen, lag, machten sie dar\u00fcber hinaus auf die aktuelle Bedrohungslandschaft von Microsoft Office aufmerksam.<\/p>\n<p>Der Wandel, den die Bedrohungslandschaft innerhalb der letzten zwei Jahre durchlebt hat, ist betr\u00e4chtlich. Bei ihrer Untersuchung verglichen unsere Experten, ob und inwiefern sich spezifische Ziel-Plattformen in Bezug auf die Anzahl der angegriffenen Nutzer von 2016 bis Ende des letzten Jahres ver\u00e4ndert haben. Dabei stellten sie fest, dass sich Cyberkriminelle zunehmend auf MS-Office-Schwachstellen konzentriert haben, w\u00e4hrend der Exploit webbasierter Sicherheitsl\u00fccken vergleichsweise abnahm. Hierbei sorgte vor allem das Ausma\u00df des Wandels bei unseren Experten f\u00fcr \u00dcberraschung: Denn wie die nachfolgende Grafik zeigt, entwickelte sich MS Office in den letzten Monaten des Jahres, mit einem Anteil von mehr als 70% aller Angriffe, zur meist anvisierten Plattform.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignnone wp-image-19023 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2019\/04\/11125417\/office_platforms_diagram.png\" alt=\"\" width=\"1166\" height=\"650\">Im letzten Jahr tauchten nach und nach immer mehr Zero-Day-Exploits f\u00fcr MS Office auf. Diese beginnen in der Regel mit einer zielgerichteten Kampagne, werden aber fr\u00fcher oder sp\u00e4ter ver\u00f6ffentlicht und schlie\u00dflich in einen b\u00f6sartigen Document Builder integriert. Dabei hat sich die Umschlagsdauer jedoch erheblich verk\u00fcrzt. Im Fall von CVE-2017-11882 \u2013 die erste, von unseren Experten entdeckte Schwachstelle des Formel-Editors \u2013 wurde am selben Tag der Ver\u00f6ffentlichung des <em>Proof of Concept<\/em> eine umfangreiche Spam-Kampagne ins Leben gerufen. Das gleiche gilt auch f\u00fcr andere Schwachstellen: Sobald ein technischer Bericht f\u00fcr eine Sicherheitsl\u00fccke ver\u00f6ffentlicht wird, erscheint innerhalb weniger Tage ein passender Exploit dazu auf dem Schwarzmarkt. Die Bugs selbst sind deutlich weniger komplex geworden, und manchmal ist eine detaillierte Rezension alles, was Cyberkriminelle ben\u00f6tigen, um einen funktionierenden Exploit zu erstellen.<\/p>\n<p>Ein Blick auf die am h\u00e4ufigsten ausgenutzten Schwachstellen des Jahres 2018 best\u00e4tigt genau das: Malware-Autoren bevorzugen einfache, logische Bugs. Aus diesem Grund sind die Schwachstellen CVE-2017-11882 und CVE-2018-0802 des Formel-Editors mittlerweile zwei der am h\u00e4ufigsten ausgenutzten MS-Office-Bugs. Denn: Sie sind zuverl\u00e4ssig und funktionieren f\u00fcr jede Word-Version, die in den letzten 17 Jahren ver\u00f6ffentlicht wurde. Und was noch viel wichtiger ist: die Erstellung eines Exploits erfordert keine fortgeschrittenen F\u00e4higkeiten oder Kenntnisse. Das liegt unter anderem daran, dass das Bin\u00e4rprogramm des Formel-Editors \u00fcber keine der modernen Schutz- und Schadensminderungma\u00dfnahmen verf\u00fcgt, die man eigentlich von einer Anwendung im Jahr 2018 erwarten w\u00fcrde.<\/p>\n<p>\u00dcbrigens befindet sich keine der am h\u00e4ufigsten ausgenutzten Schwachstellen in MS Office selbst, sondern vielmehr in verwandten Komponenten des Pakets.<\/p>\n<p>Aber wie kann so etwas heutzutage \u00fcberhaupt noch passieren?<\/p>\n<p>Nun ja, die Angriffsfl\u00e4che von MS Office ist gro\u00df und es gibt zahlreiche komplizierte Dateiformate, die ber\u00fccksichtigt werden m\u00fcssen; ebenso wie die Integration mit Windows und die Interoperabilit\u00e4t. Und aus sicherheitstechnischer Sicht am wichtigsten: Viele Entscheidungen, die Microsoft bei der Erstellung von Office getroffen hat, sind mittlerweile nicht mehr relevant, aber ihre \u00c4nderung w\u00fcrde die R\u00fcckw\u00e4rtskompatibilit\u00e4t ma\u00dfgebend beeintr\u00e4chtigen.<\/p>\n<p>Allein im Jahr 2018 sind wir auf mehrere Zero-Day-Schwachstellen gesto\u00dfen, die in der Wildnis ausgenutzt wurden; dazu geh\u00f6rt auch <a href=\"https:\/\/securelist.com\/delving-deep-into-vbscript-analysis-of-cve-2018-8174-exploitation\/86333\/\" target=\"_blank\" rel=\"noopener\">CVE-2018-8174<\/a> (Schwachstelle in der Windows VBScript Engine zur Remotecodeausf\u00fchrung). Diese Schwachstelle ist besonders interessant, da der Exploit in einem Word-Dokument gefunden wurde, die Sicherheitsl\u00fccke jedoch eigentlich im Internet Explorer liegt. Weitere Informationen finden Sie in diesem <a href=\"https:\/\/securelist.com\/delving-deep-into-vbscript-analysis-of-cve-2018-8174-exploitation\/86333\/\" target=\"_blank\" rel=\"noopener\">Beitrag auf Securelist<\/a>.<\/p>\n<h2>So machen wir Schwachstellen ausfindig<\/h2>\n<p>Die <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Sicherheitsprodukte von Kaspersky f\u00fcr Endpunkte<\/a> verf\u00fcgen \u00fcber sehr erweiterte Heuristikfunktionen zur Bedrohungserkennung, die \u00fcber MS Office-Dokumente bereitgestellt werden. Die Heuristik-Engine kennt alle Dateiformate und Verschleierungsmethoden von Dokumenten und dient als erste Verteidigungslinie. Wenn wir ein b\u00f6sartiges Objekt entdecken, stufen wir dieses nicht nur als gef\u00e4hrlich ein, sondern lassen es zus\u00e4tzliche Sicherheitsebenen passieren. Eine besonders erfolgreiche Technologie ist beispielsweise die Sandbox.<\/p>\n<p>In der Informationssicherheit werden Sandboxen verwendet, um eine unsichere Umgebung von einer sicheren (oder umgekehrt) zu isolieren, um den Exploit von Schwachstellen zu vermeiden und Schadcode zu analysieren. Unsere Sandbox ist ein System zur Malware-Erkennung, das ein verd\u00e4chtiges Objekt in einer virtuellen Maschine mit einem voll ausgestatteten Betriebssystem ausf\u00fchrt und die sch\u00e4dliche Aktivit\u00e4t des Objekts durch die Analyse seines Verhaltens erkennt. Es wurde vor einigen Jahren f\u00fcr den Einsatz in unserer eigenen Infrastruktur entwickelt und wurde dann Teil unserer <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/anti-targeted-attack-platform?redef=1&amp;reseller=gl_enterprsec_oth_ona_smm__onl_b2b_blog_ban____kata___\" target=\"_blank\" rel=\"noopener\">Kaspersky Anti Targeted Attack Platform<\/a>.<\/p>\n<p>Microsoft Office ist ein beliebtes Zielobjekt f\u00fcr Cyberkriminelle und wird es auch in Zukunft bleiben. Angreifer halten nach den einfachsten Zielen Ausschau und nutzen veralterte Features aus. Um Ihr Unternehmen angemessen zu sch\u00fctzen, empfehlen wir Ihnen die Installation einer Sicherheitsl\u00f6sunge, deren Wirksamkeit durch die lange Liste der gefundenen CVEs bewiesen werden kann.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Die Bedrohungslandschaft von Microsoft Office sowie die Technologien, die uns dabei helfen, verwandte Zero-Day-Exploits aufzusp\u00fcren, standen im Mittelpunkt des Vortrags unserer Forscher auf dem SAS 2019.<\/p>\n","protected":false},"author":2706,"featured_media":19024,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[3252,2979,1332,3253,1498,1344],"class_list":{"0":"post-19022","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-thesas2019","9":"tag-office","10":"tag-sas","11":"tag-sas-2019","12":"tag-schwachstellen","13":"tag-security-analyst-summit"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ms-office-vulnerabilities-sas-2019\/19022\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/ms-office-vulnerabilities-sas-2019\/15601\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/13145\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/17521\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ms-office-vulnerabilities-sas-2019\/15670\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/14369\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ms-office-vulnerabilities-sas-2019\/18244\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ms-office-vulnerabilities-sas-2019\/17173\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ms-office-vulnerabilities-sas-2019\/22603\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/ms-office-vulnerabilities-sas-2019\/5876\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ms-office-vulnerabilities-sas-2019\/26415\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/ms-office-vulnerabilities-sas-2019-2\/11601\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ms-office-vulnerabilities-sas-2019\/11676\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/ms-office-vulnerabilities-sas-2019\/10600\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ms-office-vulnerabilities-sas-2019\/23042\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ms-office-vulnerabilities-sas-2019\/18258\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ms-office-vulnerabilities-sas-2019\/22452\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ms-office-vulnerabilities-sas-2019\/22389\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/sas\/","name":"SAS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19022","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=19022"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19022\/revisions"}],"predecessor-version":[{"id":20860,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19022\/revisions\/20860"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/19024"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=19022"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=19022"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=19022"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}