DDE-Sicherheitslücke in Microsoft Office bereits Teil von E-Mail-Attacken

Sicherheitslücke durch Microsoft-Office-Dokumente in Mails ermöglicht Angreifern Zugriff auf Systeme. Bislang kein Patch von Microsoft angekündigt. Nur flexibles Content Disarming bietet Schutz.

Paderborn, 19. Oktober 2017 – Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, weist auf eine aktuell neue Bedrohungslage durch Mail-Anhänge hin.

Nachdem Sicherheitsforscher in der vergangenen Woche eine schwerwiegende Sicherheitslücke in Microsoft Office entdeckt haben, wird diese bereits in konkreten E-Mail-Angriffen ausgenutzt. Durch speziell präparierte Dateien im Microsoft-Excel- oder Microsoft-Word-Format können Angreifer nach der Öffnung der Dateien seitens des Benutzers beliebigen Code auf dem System des Benutzers ausführen. Dadurch erhalten die Hacker Zugriff auf den Windows-Rechner.

Aktuell wird Zunahme derartiger Attacken registriert

Diese Lücke wird zunehmend in Mail-Attacken mit entsprechenden Anhängen ausgenutzt. Das renommierte SANS Institute hat bereits eine deutliche Zunahme an Attacken mit alten Malware-Bekannten wie Hancitor registriert. So wurde am Montag ein massiver Anstieg derartiger Angriffe beobachtet.

Die Sicherheitslücke tritt unter Verwendung von Dynamic Data Exchange (DDE) auf. Dieses Protokoll dient dem Austausch von Applikationen und wird unter anderem von Excel verwendet, um externe Informationen einzubinden. Nach einem erfolgreichen Angriff sind alle Daten auf den betroffenen Systemen gefährdet. Diese Sicherheitslücke wird durch die von Microsoft am 10.10.2017 veröffentlichten Patches noch nicht geschlossen. Daher müssen die eingesetzten E-Mail-Security-Lösungen verlässliche Sicherheit bieten.

Nur flexibles Content Disarming schafft Sicherheit

Mithilfe eines intelligenten Anhangsmanagements lassen sich derartige Angriffe durch sogenanntes Content Disarming sicher abwehren. Dabei wandelt das Secure-Mail-Gateway Anhänge im Word- und Excel-Format regelbasiert und automatisiert in unkritische PDF-Dateien um. So gelangt potenziell vorhandener Schadcode nicht in das Firmennetzwerk. Der Empfänger erhält dadurch einen garantiert ungefährlichen Anhang. Im PDF-Dokument findet sich eine Vorschaltseite, auf der individuelle Hinweise zum Grund der Konvertierung aufgeführt sind und – sofern gewünscht – auch ein Link zum Originaldokument, das sich in einer speziellen Quarantäne befindet.

Aktuelle Version 12 von NoSpamProxy steuert Content Disarming über die Reputation des Senders

In der aktuellen Version 12 von NoSpamProxy ist genau das möglich. NoSpamProxy kombiniert Content Disarming mit dem einzigartigen Level-of-Trust-Konzept und der Senderreputation. Im Falle einer akuten Bedrohungslage wie der aktuellen DDE-Lücke, können NoSpamProxy-Kunden einfach per Regel einstellen, dass Attachments von neuen oder unbekannten Sendern grundsätzlich über das Content Disarming laufen, während die Mails von Sendern mit höherer Reputation ungehindert passieren können. Erst diese feingliedrige Steuerbarkeit macht den Schutzmechanismus praxistauglich, da die normale Zusammenarbeit der Nutzer nicht gestört wird. Zudem senkt sie die Hemmschwelle für die IT, Content Disarming als wirksames Instrument einzusetzen, da die Beeinträchtigung der Nutzer auf ein Minimum reduziert wird.

„Content Disarming ist eine wirksame Maßnahme zum Schutz vor Malware-Anhängen in Mails. Erst wenn man dieses Instrument sehr zielgenau einsetzen kann, wird es praxistauglich. Dies ist ein weiterer Beleg dafür, dass ohne eine leistungsstarke und feingliedrige Bewertung der Senderreputation kaum noch ein praktikabler Schutz vor Malware und Spam gelingen kann“, sagt Stefan Cink, E-Mail-Sicherheitsexperte bei Net at Work.

Hintergrundinformationen zu dieser Sicherheitslücke erhalten Sie hier: https://isc.sans.edu/forums/diary/Hancitor+malspam+uses+DDE+attack/22936/

Weitere Informationen über die integrierte Mail-Security-Suite NoSpamProxy erhalten Sie hier:
https://www.nospamproxy.de

(bhk)

Alliance für Cybersecurity

Aktuelle Informationen der Allianz für Cyber-Sicherheit
  • Mehr Sicherheit im Smart Home: BSI veröffentlicht Technische Richtlinie für Breitband-Router
    Mit zunehmender Digitalisierung hält das Internet der Dinge Einzug in immer mehr Privathaushalte in Deutschland. Zentraler Bestandteil des heimischen Netzwerks aus PC, Smartphone, Smart-TV, Smart-Home-Geräten wie Rolladensteuerung oder WLAN-fähigem Kühlschrank ist der Router, der sowohl das Tor zum Internet als auch Management-Plattform für das Heimnetzwerk ist. Über den Router laufen alle Informationen und Daten, die im heimischen Netzwerk und/oder über das Internet ausgetauscht werden. Wer Zugriff auf den Router hat, der hat oftmals auch Zugriff auf die privaten Daten. Um einen Zugriff unbefugter Dritter zu verhindern, sollte der Router also angemessen abgesichert sein. Vor dem Hintergrund seiner Zuständigkeit für den Digitalen Verbraucherschutz hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) daher nun die Technischen Richtlinie „Secure Broadband Router“ (TR-03148) veröffentlicht. Die Technische Richtlinie richtet sich vor allem an die Hersteller von Breitband-Routern und definiert ein Mindestmaß an IT-Sicherheitsmaßnahmen, die für Router im Endkundenbereich umgesetzt sein sollten. Ziel der TR ist es damit auch, die Sicherheitseigenschaften für Verbraucherinnen und Verbraucher transparent zu machen. Dies können Hersteller durch eine geeignete Kennzeichnung am Gerät unterstützen. Somit ist die Veröffentlichung der TR Router ein wichtiger Schritt in Richtung eines IT-Sicherheitskennzeichens, wie es die Bundesregierung in der Cyber-Sicherheitsstrategie von 2016 und im Koalitionsvertrag vorgesehen hat. Das BSI wird auch für weitere Geräte des Internets der Dinge und des Smart Homes Mindestanforderungen an deren IT-Sicherheit formulieren.
  • Medica: BSI unterstützt Hersteller und Betreiber von Medizinprodukten
    Im Rahmen der Messe „Medica“ in Düsseldorf hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die englischsprachige Fassung der BSI Empfehlung CS-132 „Cyber-Sicherheitsanforderungen an netzwerkfähige Medizinprodukte“ veröffentlicht. Die praxisnahen und umsetzungsorientierten Empfehlungen richten sich an Hersteller von Medizintechnik und unterstützen diese dabei, den Stand der Technik sowie vorhandene normative Vorgaben in ihren Produkten umzusetzen. Zudem dient das Papier auch dazu, die Hersteller für die bei der Vernetzung und Digitalisierung von Medizinprodukten entstehenden neuen Gefährdungen zu sensibilisieren. Die englischsprachige Empfehlung steht zum Download unter https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_132.html zur Verfügung.
  • Partnerangebot: Spear Phishing & Co. – Personalisierte Cyber-Angriffe erkennen und abwehren
    Wie Sie die Risiken durch gezielte Angriffe bewerten und wirksame Abwehrmethoden etablieren, erfahren Sie in einem Workshop der Riskworkers GmbH.

Heise Security

News und Hintergrund-Informationen zur IT-Sicherheit

IT-SEC Report - Der Informationshub für IT-Security

 

Produkte &
Technologien

Aktuelles rund um neue Produkte und Technologien

Recht &
Politik

Meldungen aus IT-Politik und -Rechtsprechung

News &
Marktdaten

News und Kennzahlen aus dem IT-Security-Markt

Events &
Online-Sessions

Der Veranstaltungskalender für IT-Security in DACH

 

Follow us on:             (c) Copyright 2016 ITSEC REPORT. Alle Rechte vorbehalten.