F

Wie Plattform-übergreifende Malware in Word-Dateien agiert

Microsoft-Word-Dokumente sind ein beliebtes Vehikel für Malware. Angreifer nutzen die Office-Dateien auch für Plattform-übergreifende Attacken auf Windows und macOS.

Sicherheitsforscher bei Fortinet haben eine plattformübergreifende Malware entdeckt, die je nachdem welches Betriebssystem das Opfer verwendet, Windows- oder macOS-Systeme infiziert. Als Verbreitungsweg nutzt diese Schadsoftware Microsoft Word. Wie funktioniert dies mit der plattformübergreifenden Malware auf verschiedenen Systemen?

Plattformübergreifende Entwicklungsumgebungen sind für Entwickler naturgemäß ein interessanter Ansatz. Sie können sich so auf die Funktionen der eigentlichen Anwendungen konzentrieren, anstatt sich mit der jeweiligen Komplexität der Betriebssystemumgebung intensiv vertraut machen zu müssen. Sprich, die Entwicklungsumgebung muss in der Lage sein, den entsprechenden ausführbaren Code für die jeweiligen Betriebssysteme oder auch für eine Umgebung wie Java Runtime Environment (JRE) auszugeben.

Was dem Anwendungsentwickler recht ist, ist dem Malware-Autoren nur billig. Denn ein derartiger Ansatz vergrößert die Anzahl der potentiell zu infizierenden Systeme. Fortinet-Experten haben eine Schadsoftware analysiert, die sowohl Windows- als auch MacOS-Systeme adressiert.

Anstatt Java, verwendet diese plattformübergreifende Malware ein Word-Dokument mit eingebettetem Makro. Zudem werden die in den Zielbetriebssystemen vorhandenen Skript-Sprachen genutzt, um den Code auf dem Endpunkt auszuführen. Das Makro erkennt das zugrundeliegende Betriebssystem und verwendet, vereinfacht gesagt, nachfolgend Python (MacOS) oder die PowerShell (Windows), um den Schadcode auszuführen. So nimmt das Skript dann Verbindung zu einem externen System auf, um den Rest der plattformübergreifenden Malware nachzuladen.

Systeme vor präparierten Makros schützen

Nun sollten die Systeme eines Unternehmens ohnehin sehr robust gegen präparierte Word-Dokumente konfiguriert sein. Schließlich zählt dieser Verbreitungsweg zu den gängigsten Einfallstoren von Schadsoftware. Meist werden entsprechenden Dateien den potentiellen Opfern per E-Mail zugestellt. So lässt sich Microsoft Office im Hinblick auf die Ausführung von Makros durchaus relativ sicher konfigurieren, ohne dass der eigene Geschäftsbetrieb darunter leiden muss.

Auch die hier auf Windows verwendete Skript-Sprache PowerShell sollte per Ausführungsrichtlinie so konfiguriert werden, dass eine bestmögliche Sicherheit geboten ist. Mit diesen Maßnahmen im Hinblick auf Word-Makros lässt sich die Angriffsfläche schon deutlich verringern.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

OLE-Malware: So kann man Microsoft Office schützen

Microsoft Windows und Office vor Makroviren schützen

Ausführungsrichtlinie: Die Sicherheit der PowerShell optimieren

Artikel wurde zuletzt im September 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Email-Schutz

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close