Anzeige

Anzeige

VERANSTALTUNGEN

B2B Service Management
22.10.19 - 23.10.19
In Titanic Chaussee Hotel, Berlin

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

DILK 2019
28.10.19 - 30.10.19
In Düsseldorf

Digital X
29.10.19 - 30.10.19
In Köln

DIGITAL FUTUREcongress
05.11.19 - 05.11.19
In Essen, Halle 8 im Congress Center Ost

Anzeige

Anzeige

Schwachstelle

Spätestens mit der Einführung der DSGVO hat in Europa eine gewisse Sensibilisierung gegenüber Datenschutz und Sicherheitsrisiken eingesetzt – ob privat oder im beruflichen Umfeld. Ein Kommentar von Jörg von der Heydt, Channel Director DACH bei Skybox Security, kommentiert die Microsoft-Office-Schwachstelle CVE-2017-8570 und mögliche Lösungsansätze.

Dennoch zeigen europäische Arbeitnehmer weltweit die geringste Disziplin, wenn es um die Cybersicherheit in ihren Unternehmen geht: Studien zeigen, dass ein Großteil der Angestellten sich nicht regelmäßig über IT-Sicherheit Gedanken macht. Ein signifikanter Anteil ist sogar der Auffassung, dass die Prävention von Sicherheitsbedrohungen nicht in seinen Aufgabenbereich falle – obwohl man sich über die rechtlichen Folgen eines Datendiebstahls im Klaren ist. Bei einem Verstoß gegen die DSGVO müssen Unternehmen beispielsweise mit Bußgeldern in Höhe von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes weltweit rechnen.

Daten-Leaks können langfristige, verheerende Folgen für den Ruf eines Unternehmens haben – wie man es beispielsweise bei Giganten wie Facebook beobachten kann. Dabei gibt es einfache Präventionsmaßnahmen, die vor Datendiebstahl schützen.

Microsoft-Office-Schwachstelle CVE-2017-8570

Die kürzlich erneut ausgenutzte Microsoft-Office-Schwachstelle CVE-2017-8570 ist ein gutes Beispiel für einen Exploit, der potenziell dramatische Folgen nach sich ziehen kann – obwohl wirksame und einfache Schutzmöglichkeiten zur Verfügung stehen.

Erstmals war die höchst riskante Sicherheitslücke im Juli 2017 aufgetreten. Obwohl noch im selben Monat ein Patch zur Eliminierung der Bedrohung bereitgestellt worden war, folgten weitere Cyber-Angriffe in den folgenden Monaten: beispielsweise im März 2018 durch Threadkit, eine Hacking Software für Laien.

Auch jetzt noch, im März 2019, wird diese Schwachstelle regelmäßig ausgenutzt. Mittels Formbook Malware, erneut verbreitet über Threadkit, erhalten Hacker Zugriff auf vertrauliche Daten. Gibt der Nutzer zum Beispiel Autorisierungs- und Anmeldeinformationen in ein Webdatenformular ein, werden diese Informationen direkt bei der Eingabe abgerufen, bevor diese überhaupt verschlüsselt und übertragen werden können.

Funktionsweise des Exploits

Die Schwachstelle präsentiert sich in sehr unauffälliger Form, weshalb Nutzer oft ohne weitere Bedenken die kritische Datei öffnen und lange Zeit nicht merken, dass die Malware auf dem PC im Hintergrund läuft.

Der Virus versteckt sich in einer Word-Datei im RTF-Format, die per Mail an den Nutzer gesendet wird – Absender-Adresse und Betreff enthalten Details, die authentisch wirken. Auch die Ansprache ist an die realer Unternehmen angepasst. Beispielsweise kann es sich um die Aufforderung handeln, eine Zahlung zu begleichen.

Klickt der Nutzer auf den Anhang, öffnet und schließt sich die RTF-Datei sofort, als wäre die Word-Anwendung abgestürzt. Tatsächlich aber wird in der Zwischenzeit eine ZIP-Datei heruntergeladen und extrahiert. Darin wird ein zweites vermeintliches Word-Dokument gespeichert, das den Quellcode für Phishing-HTML-Seiten und die Malware-Nutzdaten enthält.

Während sich für den Nutzer nun das erste Word-Dokument öffnet, werden im Hintergrund die Malware-Daten entpackt – so gerät die Anwendung auf den PC. Dass die Malware vertrauliche Daten sammelt, ist nicht zu bemerken.

Schutzmaßnahmen

Eine Möglichkeit, um Bedrohungen wie die Microsoft-Office-Schwachstelle CVE-2017-8570 präventiv zu verhindern, ist denkbar einfach umzusetzen: Sobald Patches zur Verfügung stehen, sollten diese umgehend installiert werden. Beispielsweise stellt der Anbieter Microsoft zum monatlichen Patchday eine Vielzahl von Korrekturauslieferungen vor, mit der Nutzer bekannt gewordene Sicherheitslücken schließen können.

Allerdings hat ein zwei Jahre altes Patch für eine Schwachstelle, die damals als wenig kritisch eingestuft wurde, für IT-Sicherheitsteams wohl kaum Priorität. In Unternehmen, in denen aktuelle Bedrohungsinformationen nicht regelmäßig in die Patch-Priorisierung einbezogen werden, wird diese Schwachstelle vermutlich ungepatcht bleiben. Eine umfassende Schwachstellen-Management-Lösung hilft bei dieser Risikopriorisierung.

Zudem sollten Nutzer beim Öffnen von Anhängen höchste Vorsicht walten lassen, besonders, wenn dieser von einer unbekannten Firma stammt. Als weitere Vorsichtsmaßnahme empfiehlt es sich, nach dem Download des Anhangs den Bearbeitungsmodus und die Makros in Microsoft Word zu deaktivieren – allein das Öffnen der Datei oder das Drücken einer bestimmten Tastenkombination könnten der Impuls für den Start der Malware-Nutzdatei sein.

www.skyboxsecurity.com/DACH
 

GRID LIST
Insider

Drei Tipps zum Schutz vor Insider-Bedrohungen

Die Cybersicherheitslandschaft verändert sich ständig, aber eines ist in den letzten…
Markus Auer

Produktionsausfall bei Porsche: Was tun, wenn es brennt?

Die Vorfälle bei Porsche und bei Pilz sorgen für Schlagzeilen. Der Supergau eines jeden…
Hacker Emails

Erpresserische Sex-E-Mails im Umlauf

Check Point Research, die Threat-Intelligence-Abteilung von Check Point Software…
KI Cybersecurity

Mit Machine Learning die Stecknadel im Heuhaufen finden

Cyber-Angriffe werden immer ausgeklügelter. Um sich vor diesen Attacken zu schützen,…
Zero Day Exploit

Zero-Day-Angriffe: Die bösartigen Unbekannten

Zero-Day-Schwachstellen und entsprechende Exploit-Kits sind äußerst wertvoll auf dem…
Malware

Agent Tesla verbreitet sich wie ein Lauffeuer – Emotet erwacht wieder

Die Threat Intelligence-Abteilung von Check Point Software Technologies Ltd. (NASDAQ:…