Outlook-Nutzer durch Lücke in Microsoft DDE gefährdet

Das Microsoft-Protokoll Dynamic Data Exchange (DDE) kann missbraucht werden, um mittels manipulierter Office-Anhänge, etwa Word- oder Excel-Dateien, ohne Nutzung von Makros Malware zu starten. Jetzt hat Sophos davor gewarnt, dass über die Lücke auch Angriffe per Outlook-Einladungen möglich sind.

Experten des IT-Security-Anbieters Sophos haben vor einer weiteren Möglichkeit gewarnt, eine Sicherheitslücke im Microsoft-Protokoll Dynamic Data Exchange (DDE) auszunutzen. Offenbar sind darüber auch Angriffe auf Outlook-Nutzer möglich.

Die DDE-Attacke lässt sich von Nutzern relativ leicht abwenden, wenn sie hier auf “Nein” klicken (Screensot: Sophos)Die DDE-Attacke lässt sich von Nutzern relativ leicht abwenden, wenn sie hier auf “Nein” klicken (Screensot: Sophos)

Bislang waren lediglich Angriffe mit manipulierten Office-Dateien – Word oder Excel – bekannt. Die sind allerdings deshalb tückisch, weil sie ohne den Aufruf von Makros auskommen, um die Malware zu starten. Nun entdeckte Sophos, dass sich DDE-Angriffe auch in Microsoft Outlook durchführen lassen. Das geht mit E-Mails und Kalendereinträgen im Rich Text Format (RTF).

Die Angreifer müssen dabei den Nutzer nicht mehr überzeugen, einen infizierten Dateianhang zu öffnen. Der Schadcode kann vielmehr direkt in den Nachrichtentext integriert werden. Dadurch wird der Angriff einfacher durchführbar.

DDEAUTO-Attack (Screenshot: Sophos)Die DDE-Attacke lässt sich von Nutzern relativ leicht abwenden, wenn sie hier auf „Nein“ klicken (Screensot: Sophos)

Allerdings lässt er sich von einem aufmerksamen Nutzer auch einfach abwehren. Anhänge, E-Mails und Kalendereinträge zeigen nämlich ein Pop-up an, bevor sie die DDEAUTO genannte Attacke starten. Es reicht daher, auf den Dialogboxen einfach auf „Nein“ zu klicken.

Das sollten Nutzer aber wissen, tendieren sie doch dazu, bei derartigen Abfragen gewohnheitsmäßig auf „Ja“ oder „Weiter“ zu klicken. Im konkreten Fall, werden sie zunächst gefragt, ob sie das aktuelle Dokument mit Daten eines verbundenen Dokuments aktualisieren wollen. Sollten sie da zustimmen, bekommen sie noch eine zweite Chance, den Angriff abzuwehren, denn sie werden – allerdings mit wechselndem Text – auch gefragt, ob sie die Anwendung C:\windows\system32\cmd.exe? starten wollen. Wer mindestens einmal auf „Nein“ klickt, hat den Angriff unterbunden.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Alternativ können Outlook-Nutzer sich einfach auch alle E-Mails im Plain Text Format anzeigen lassen. Auch das verhindert die Ausführung des Schadcodes. Allerdings sind dann möglicherweise für sie Inhalte von E-Mails im HTM-Format nicht mehr vollständig sichtbar.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: E-Mail, Sophos

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Outlook-Nutzer durch Lücke in Microsoft DDE gefährdet

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *