Seit einer Woche häufen sich Berichte darüber, dass eine Sicherheitslücke in Office aktiv von Schadprogrammen ausgenutzt wird. Eine RTF-Datei infiziert den Rechner, sobald sie mit Word regulär geöffnet wird. Millionen von E-Mails mit schädlichen Anhängen sollen in Spam-Kampagnen über das Necurs-Botnet versendet worden sein. Ein erfolgreicher Angriff installiert einen Banking-Trojaner der Dridex-Familie. Soweit die Schilderungen in der Presse und in Foren.
Schwache Signale
Unsere Telemetrie zeigt ein anderes Bild. Gegenüber den letzten Wochen ist aktuell im deutschsprachigen Raum kein Anstieg im Bereich der Aktivitäten von Exploits und Banking-Trojanern zu verzeichnen. Entweder arbeiten die Spamfilter so zuverlässig, dass von der ganzen Kampagne nichts auf den Rechnern ankommt. Oder momentan sind die Aktivitäten der Spammer auf andere geografische Regionen begrenzt.
Gegenmaßnahmen
Das muss aber nicht so bleiben. Man kann sich auf den Virenschutz verlassen. Seine dynamischen Schutzkomponenten wie Behavior Blocker und Exploit Protection würden diesen Angriff abwehren. Man kann Word auch so einstellen, dass es Dokumente zunächst in der "Geschützten Ansicht" öffnet, denn der Angriff funktioniert nur im Modus "Bearbeiten". Als Nutzer hat man demnach einige Möglichkeiten den Angriff zu verhindern. Aber besser ist natürlich, wenn man es gar nicht erst so weit kommen lässt.
Updaten!
Das aktuelle Microsoft-Update schließt diese kritische Sicherheitslücke in Windows. Und noch viele weitere u.a. in den Browsern Internet Explorer und Edge und in Office. Die diese Lücke bereits aktiv von Malware ausgenutzt wird - wenn auch offenbar nicht im deutschsprachigen Raum - sollte man schneller sein als die Cyber-Kriminellen.
ID | Kurze Beschreibung | Bewertung | Betroffene Software |
|---|---|---|---|
MS16-037 | Kumulatives Sicherheitsupdate für Internet Explorer (3148531) Ausführung von Code mit den Rechten des aktuellen Nutzers | Kritisch Remotecodeausführung | Microsoft Windows, Internet Explorer |
MS16-038 | Kumulatives Sicherheitsupdate für Microsoft Edge (3148532) Ausführung von Code mit den Rechten des aktuellen Nutzers | Kritisch Remotecodeausführung | Microsoft Windows, Microsoft Edge |
MS16-039 | Sicherheitsupdate für Microsoft-Grafikkomponente (3148522) Ausführung von Code, beim Öffnen eines speziell gestalteten Dokuments, beim Besuch der Webseite die OpenType-Schriftartdateien enthält | Kritisch Remotecodeausführung | Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Skype for Business, Microsoft Lync. |
MS16-040 | Sicherheitsupdate für Microsoft XML Core Services (3148541) Ausführung von Code beim Klick auf einen präparierten Link z.B. in E-Mails oder auf Webseiten. | Kritisch Remotecodeausführung | Microsoft Windows |
MS16-041 | Sicherheitsupdate für .NET Framework (3148789) Ausführung von Code, wenn ein Angreifer auf ein lokales System zugreift und eine schädliche Anwendung ausführt. | Hoch Remotecodeausführung | Microsoft Windows, Microsoft .NET Framework |
MS16-042 | Sicherheitsupdate für Microsoft Office (3148775) Ausführung von Code beim Öffnen einer Office-Datei mit den Rechten des aktuellen Nutzers | Kritisch Remotecodeausführung | Microsoft Office, Microsoft Office-Dienste und Web Apps |
MS16-044 | Sicherheitsupdate für Windows OLE (3146706) Ausführung von Code, wenn Benutzereingaben in Windows OLE nicht überprüft werden. Zum Ausnutzen muss eine präparierte Datei geöffnet werden | Hoch Remotecodeausführung | Microsoft Windows |
MS16-045 | Sicherheitsupdate für Windows Hyper-V (3143118) Wenn auf einem Gastsystem eine präparierte Datei ausgeführt wird, kann es zur Ausführung von Code auf dem Host kommen. Nutzer, die die Hyper-V-Rolle nicht aktiviert haben, sind nicht betroffen. | Hoch Remotecodeausführung | Microsoft Windows |
MS16-046 | Sicherheitsupdate für sekundären Anmeldedienst (3148538) Ausführung von beliebigem Code als Administrator | Hoch Erhöhung von Berechtigungen | Microsoft Windows |
MS16-047 | Sicherheitsupdate für SAM- und LSAD-Remoteprotokolle (3148527) Erhöhte Berechtigungen erlangen, wenn ein Angreifer einen Man-in-the-Middle-Angriff ausführt. Ein Angreifer könnte dann eine Herabstufung der Authentifizierungsebene der SAM- und LSAD-Kanäle erzwingen und die Identität des authentifizierten Benutzers annehmen. | Hoch Erhöhung von Berechtigungen | Microsoft Windows |
MS16-048 | Sicherheitsupdate für CSRSS (3148528) Umgehung von Sicherheitsfunktionen, wenn sich ein Angreifer bei einem Zielsystem anmeldet und eine speziell gestaltete Anwendung ausführt. | Hoch Umgehung von Sicherheitsfunktionen | Microsoft Windows |
MS16-049 | Sicherheitsupdate für HTTP.sys (3148795) Denial-of-Service-Angriff, wenn ein speziell gestaltetes HTTP-Paket an ein Zielsystem gesendet wird. | Hoch DoS (Denial of Service) | Microsoft Windows |
MS16-050 | Sicherheitsupdate für Adobe Flash Player (3154132) Sichert gegen Angriffe bei der Installation von Adobe Flash Player | Kritisch Remotecodeausführung | Microsoft Windows, Adobe Flash Player |
