Windows 10: Lücke beim Schutz vor Erpressungstrojaner durch Office-Apps

    8. Februar 2018, 10:13
    3 Postings

    Sicherheitsforscher zeigt: Auf CFA-geschützte Ordner kann leicht über Microsofts hauseigene Office-Apps zugegriffen werden

    Im Juni 2017 führte Microsoft unter Windows 10 den Controlled Folder Access (CFA) ein. Konkret können Nutzer damit gewisse Ordner schützen, sodass nur vorgegebene Programme darauf Zugriff haben. Der Sinn dahinter ist, Nutzer vor Erpressungstrojanern zu schützen, die beispielsweise Inhalte aus solchen Ordnern sperren und nur gegen Geld zurückgeben. Allerdings hat der CFA offenbar eine fatale Lücke – nämlich dürfen Microsofts Office-Programme wohl auf alle diese Ordner zugreifen.

    Über OLE-Schnittstelle

    Die Sicherheitslücke wurde von einem Forscher des Security-Unternehmens Security by Default entdeckt. Dieser nutzte Microsofts OLE-Schnittstelle, um mithilfe eines Python-Skripts auf CFA-geschützte Ordner zuzugreifen. Über Python selbst war dies zwar nicht möglich, da Winword.exe aber zugelassen wird, war der Zugriff mit der Microsoft-App möglich.

    Erpressungstrojaner über Office-Apps

    Problematisch ist dies, weil Erpressungstrojaner oft über E-Mails mit angehängten Office-Dokumenten versendet werden. Ein Beispiel hierfür ist der Verschlüsselungstrojaner "Goldeneye". Die Phishingmail, die gezielt an Personalverantwortliche adressiert war, wurde in Form einer Bewerbungsmail verbreitet, an welcher eine Excel-Datei angehängt wurde.

    Öffnet man diese, wird der Nutzer– wie bei allen aus dem Internet heruntergeladene Office-Dateien – gebeten, die Bearbeitungsfunktion zu aktivieren. Daraufhin werden Dateien auf dem System verschlüsselt und können nur gegen Lösegeld wieder befreit werden. In einem solchen Falle wären die CFA-geschützte Ordner also nutzlos.

    Reaktion

    Microsoft selbst sieht die Sicherheitslücke nicht als solche an, da, wie der Forscher schreibt, sie den Windows Defender Exploit Guard nicht als Sicherheitsbarriere sehen würde. Allerdings würde das Unternehmen sich mit der Problematik befassen, indem die CFA-Ordner Funktionalität "verbessert" wird. (muz, 8.2.2018)

    • Artikelbild
      foto: apa/afp/jason redmond
    Share if you care.