com!-Academy-Banner
Eingebettete EXE-Dateien

Microsoft Word bietet Viren ein Schlupfloch

von - 03.07.2015
Viren in RTF-Dateien
Foto: Shutterstock
In vermeintlich harmlosen RTF-Dateien können ausführbare Dateien an Firewalls vorbeigeschmuggelt werden. Die Funktion ist in allen Office-Versionen vorhanden und lässt sich nicht deaktivieren.
Seit 1990 bietet Microsoft mit dem OLE-Packager (Object Linking and Embedding) eine Möglichkeit, verschiedenste Objekte in Office-Dokumenten zu verlinken oder sie direkt einzubetten. Der Sicherheitsforscher Kevin Beaumont weist nun in der Security-Malingliste Full Disclosure darauf hin, dass sich über dieses OLE-System auch ausführbare Dateien in RTF-Dokumenten versteckt an Firewalls und anderen Filtern vorbeischleusen lassen.
RTF mit eingebetteter EXE-Datei
RTF mit ausführbarem Inhalt: Es ist kinderleicht, eine EXE-Datei in einem RTF-Dokument einzubetten.
Das dieser Trick wirklich funktioniert, lässt sich leicht nachvollziehen: Es genügt, eine beliebige ausführbare Datei wie zum Beispiel „Minecraft.exe“ in ein geöffnetes Word-Dokument zu ziehen. Die Datei wird sofort eingebettet. Öffnet ein anderer Anwender das Dokument und klickt doppelt auf die Datei, startet Minecraft. Windows blendet auf vielen Systemen zwar eine Sicherheitswarnung ein. Die meisten Anwender sind an diese Meldung jedoch gewöhnt und klicken sie ohne Nachzudenken weg.
Beaumont weist noch darauf hin, dass sich die eingebettete Datei auch noch besser in dem Dokument verstecken lässt. Ein Rechtsklick auf das eingebettete Dokument zeigt den Eintrag „Objekt-Manager-Shellobjekt-Objekt“ und darunter mehrere Möglichkeiten, das Paket etwa umzubenennen oder es mit einem anderen Symbol zu versehen. Laut Beaumont lässt sich alternativ auch ein weißer Kasten über dem Objekt platzieren, um es zu verbergen.
Kriminelle müssen sich nur einen Kniff ausdenken, um unvorsichtige Anwender zum Doppelklicken auf die eingebettete Datei zu animieren. Schwierig dürfte das nicht sein. Das CCC-Mitglied Felix von Leitner zitiert in seinem Blog bereits einen IT-Admin, der berichtet, dass kurz nach Bekanntwerden des Problems die ersten verseuchten RTF-Dokumente in einem seiner Gateways hängen geblieben seien.
Der OLE-Packager ist laut Beaumont in allen aktuellen und älteren Office-Versionen vorhanden. Er habe Microsoft im März über das Problem informiert. Redmond habe aber kein Interesse gezeigt, die Funktion zumindest standardmäßig zu deaktivieren. Bis auf weiteres bedeutet das also, dass man RTF-Dateien nicht mehr trauen sollte. Diese galten bislang noch als relativ sicher, weil man keine Makros in ihnen einbetten kann.

Verwandte Themen