Seit 1990 bietet
Microsoft mit dem
OLE-Packager (Object Linking and Embedding) eine Möglichkeit, verschiedenste Objekte in Office-Dokumenten zu verlinken oder sie direkt einzubetten. Der Sicherheitsforscher Kevin Beaumont weist nun
in der Security-Malingliste Full Disclosure darauf hin, dass sich über dieses OLE-System auch ausführbare Dateien in RTF-Dokumenten versteckt an Firewalls und anderen Filtern vorbeischleusen lassen.
Das dieser Trick wirklich funktioniert, lässt sich leicht nachvollziehen: Es genügt, eine beliebige ausführbare Datei wie zum Beispiel „Minecraft.exe“ in ein geöffnetes Word-Dokument zu ziehen. Die Datei wird sofort eingebettet. Öffnet ein anderer Anwender das Dokument und klickt doppelt auf die Datei, startet Minecraft. Windows blendet auf vielen Systemen zwar eine Sicherheitswarnung ein. Die meisten Anwender sind an diese Meldung jedoch gewöhnt und klicken sie ohne Nachzudenken weg.
Beaumont weist noch darauf hin, dass sich die eingebettete Datei auch noch besser in dem Dokument verstecken lässt. Ein Rechtsklick auf das eingebettete Dokument zeigt den Eintrag „Objekt-Manager-Shellobjekt-Objekt“ und darunter mehrere Möglichkeiten, das Paket etwa umzubenennen oder es mit einem anderen Symbol zu versehen. Laut Beaumont lässt sich alternativ auch ein weißer Kasten über dem Objekt platzieren, um es zu verbergen.
Kriminelle müssen sich nur einen Kniff ausdenken, um unvorsichtige Anwender zum Doppelklicken auf die eingebettete Datei zu animieren. Schwierig dürfte das nicht sein. Das CCC-Mitglied Felix von Leitner
zitiert in seinem Blog bereits einen IT-Admin, der berichtet, dass kurz nach Bekanntwerden des Problems die ersten verseuchten RTF-Dokumente in einem seiner Gateways hängen geblieben seien.
Der OLE-Packager ist laut Beaumont in allen aktuellen und älteren Office-Versionen vorhanden. Er habe Microsoft im März über das Problem informiert. Redmond habe aber kein Interesse gezeigt, die Funktion zumindest standardmäßig zu deaktivieren. Bis auf weiteres bedeutet das also, dass man RTF-Dateien nicht mehr trauen sollte. Diese galten bislang noch als relativ sicher, weil man keine
Makros in ihnen einbetten kann.