DDE-Sicherheitslücke in Microsoft Office bereits Teil von E-Mail-Attacken

Sicherheitslücke durch Microsoft-Office-Dokumente in Mails ermöglicht Angreifern Zugriff auf Systeme. Bislang kein Patch von Microsoft angekündigt. Nur flexibles Content Disarming bietet Schutz.

Paderborn, 19. Oktober 2017 – Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, weist auf eine aktuell neue Bedrohungslage durch Mail-Anhänge hin.

Nachdem Sicherheitsforscher in der vergangenen Woche eine schwerwiegende Sicherheitslücke in Microsoft Office entdeckt haben, wird diese bereits in konkreten E-Mail-Angriffen ausgenutzt. Durch speziell präparierte Dateien im Microsoft-Excel- oder Microsoft-Word-Format können Angreifer nach der Öffnung der Dateien seitens des Benutzers beliebigen Code auf dem System des Benutzers ausführen. Dadurch erhalten die Hacker Zugriff auf den Windows-Rechner.

Aktuell wird Zunahme derartiger Attacken registriert

Diese Lücke wird zunehmend in Mail-Attacken mit entsprechenden Anhängen ausgenutzt. Das renommierte SANS Institute hat bereits eine deutliche Zunahme an Attacken mit alten Malware-Bekannten wie Hancitor registriert. So wurde am Montag ein massiver Anstieg derartiger Angriffe beobachtet.

Die Sicherheitslücke tritt unter Verwendung von Dynamic Data Exchange (DDE) auf. Dieses Protokoll dient dem Austausch von Applikationen und wird unter anderem von Excel verwendet, um externe Informationen einzubinden. Nach einem erfolgreichen Angriff sind alle Daten auf den betroffenen Systemen gefährdet. Diese Sicherheitslücke wird durch die von Microsoft am 10.10.2017 veröffentlichten Patches noch nicht geschlossen. Daher müssen die eingesetzten E-Mail-Security-Lösungen verlässliche Sicherheit bieten.

Nur flexibles Content Disarming schafft Sicherheit

Mithilfe eines intelligenten Anhangsmanagements lassen sich derartige Angriffe durch sogenanntes Content Disarming sicher abwehren. Dabei wandelt das Secure-Mail-Gateway Anhänge im Word- und Excel-Format regelbasiert und automatisiert in unkritische PDF-Dateien um. So gelangt potenziell vorhandener Schadcode nicht in das Firmennetzwerk. Der Empfänger erhält dadurch einen garantiert ungefährlichen Anhang. Im PDF-Dokument findet sich eine Vorschaltseite, auf der individuelle Hinweise zum Grund der Konvertierung aufgeführt sind und – sofern gewünscht – auch ein Link zum Originaldokument, das sich in einer speziellen Quarantäne befindet.

Aktuelle Version 12 von NoSpamProxy steuert Content Disarming über die Reputation des Senders

In der aktuellen Version 12 von NoSpamProxy ist genau das möglich. NoSpamProxy kombiniert Content Disarming mit dem einzigartigen Level-of-Trust-Konzept und der Senderreputation. Im Falle einer akuten Bedrohungslage wie der aktuellen DDE-Lücke, können NoSpamProxy-Kunden einfach per Regel einstellen, dass Attachments von neuen oder unbekannten Sendern grundsätzlich über das Content Disarming laufen, während die Mails von Sendern mit höherer Reputation ungehindert passieren können. Erst diese feingliedrige Steuerbarkeit macht den Schutzmechanismus praxistauglich, da die normale Zusammenarbeit der Nutzer nicht gestört wird. Zudem senkt sie die Hemmschwelle für die IT, Content Disarming als wirksames Instrument einzusetzen, da die Beeinträchtigung der Nutzer auf ein Minimum reduziert wird.

„Content Disarming ist eine wirksame Maßnahme zum Schutz vor Malware-Anhängen in Mails. Erst wenn man dieses Instrument sehr zielgenau einsetzen kann, wird es praxistauglich. Dies ist ein weiterer Beleg dafür, dass ohne eine leistungsstarke und feingliedrige Bewertung der Senderreputation kaum noch ein praktikabler Schutz vor Malware und Spam gelingen kann“, sagt Stefan Cink, E-Mail-Sicherheitsexperte bei Net at Work.

Hintergrundinformationen zu dieser Sicherheitslücke erhalten Sie hier: https://isc.sans.edu/forums/diary/Hancitor+malspam+uses+DDE+attack/22936/

Weitere Informationen über die integrierte Mail-Security-Suite NoSpamProxy erhalten Sie hier:
https://www.nospamproxy.de

(bhk)

Alliance für Cybersecurity

Aktuelle Informationen der Allianz für Cyber-Sicherheit
  • 24. Cyber-Sicherheits-Tag - Call for Presentations
    Sowohl aus dem privaten als auch beruflichen Umfeld sind E-Mails nicht mehr wegzudenken. Im Unternehmen dienen sie u.a. zur Interaktion mit Kunden und Lieferanten sowie zum Austausch von mitunter vertraulichen Informationen zwischen Kollegen, externen Auftragnehmern und freien Mitarbeitern. Diese herausragende Bedeutung macht E-Mails und die zur E-Mail-Infrastruktur gehörenden Komponenten gleichzeitig zu attraktiven Zielen für Cyber-Kriminelle: Die Kompromittierung von E-Mail-Servern erlaubt es den Tätern, in großem Umfang sensible Daten aus Unternehmen abzugreifen. Gefälschte Absender-Identitäten erhöhen die Chancen, dass Schadsoftware-Anhänge geöffnet werden oder CEO-Frauds zum Erfolg führen. Daher überrascht es nicht, dass E-Mail nach wie vor eines der Haupteinfallstore für Cyber-Angriffe auf Unternehmen darstellt.
  • Partnerangebot: Workshops zu PKI und X.509-Zertifikaten
    Die Data-Warehouse GmbH bietet Teilnehmern der Allianz für Cyber-Sicherheit im Oktober zwei kostenfreie Schulungen zum Umgang mit Zertifikaten und Schlüsseln an.
  • IT-Grundschutz-Profil für Handwerkskammern veröffentlicht
    Im Rahmen ihrer im Oktober 2017 vereinbarten Kooperation haben der Zentralverband des Deutschen Handwerks (ZDH) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Prozess zur "Erstellung eines IT-Grundschutz-Profils für Handwerkskammern" initiiert. Das eigens dafür entwickelte Workshop-Konzept hat sich als zielführend erwiesen: Bis zu 50 Vertreterinnen und Vertretern aus Handwerkskammern und handwerksnahen Organisationen haben ihre Expertise eingebracht. Das Ergebnis wurde auf dem gemeinsam veranstalteten Cyber-Sicherheits-Tag am 11. Juli 2018 im Bildungszentrum der Handwerkskammer Münster präsentiert und steht nun auch anderen Institutionen und Verbänden online zur Verfügung.

Heise Security

News und Hintergrund-Informationen zur IT-Sicherheit

IT-SEC Report - Der Informationshub für IT-Security

 

Produkte &
Technologien

Aktuelles rund um neue Produkte und Technologien

Recht &
Politik

Meldungen aus IT-Politik und -Rechtsprechung

News &
Marktdaten

News und Kennzahlen aus dem IT-Security-Markt

Events &
Online-Sessions

Der Veranstaltungskalender für IT-Security in DACH

 

Follow us on:             (c) Copyright 2016 ITSEC REPORT. Alle Rechte vorbehalten.