Warnung vor Mails mit Anhängen von Office-Dateien

Veröffentlicht am 02. Juni 2022

Microsoft hat am 30.05.2022 Details zu einer Schwachstelle im Microsofts Support Diagnostic Tool (MSDT) veröffentlicht. Diese Lücke wird aktiv ausgenutzt. Microsoft hat zwar versucht die Lücke zu schliessen (d.h. Office-Updates sollten unbedingt laufen, bei Ihren privaten Rechnern sollten Sie das prüfen, https://support.microsoft.com/de-de/office/aktualisieren-von-office-mit-microsoft-update-f59d3f9d-bd5d-4d3b-a08e-1dd659cf5282), aber es ist nicht sicher, ob das vollständig gelungen ist.

Wie funktioniert die Sicherheitslücke? Die Schwachstelle kann mithilfe einer präparierten Word-Datei ausgenutzt werden, sodass Angreifende gegebenenfalls in die Lage versetzt werden (auf Basis der im Dokumentenverarbeitungsprogramm enthaltenen Remote Template-Funktion) den Download einer HTML-Datei aus dem Internet anzustoßen. Dies kann zur weiteren Ausführung von PowerShell-Code missbraucht werden, wodurch Schadsoftware installiert werden kann, Daten angezeigt, geändert oder gelöscht könnten.

Ein beispielhaftes Szenario:

  • Sie erhalten eine E-Mail mit einer präparierten Office-Datei im Anhang
  • Sie öffnen Datei in Word und klicken außerdem auf "Bearbeiten aktivieren"
  • die versteckt eingebettete Schadsoftware wird ausgeführt (Remote-Code-Ausführung) und Ihr Rechner ist infiziert
  • Achtung: bei RTF-Dateien lädt sich die versteckt eingebettete Schadsoftware bereits beim Öffnen der Vorschau (bspw. auch in Outlook)

Welche Microsoft-Dateiformate sind bisher betroffen?

  • Word (z. B. doc, docx, docm, und dotm)
  • Rich Text Format (RTF)
  • Excel
  • weitere sind möglich

Welche MS Office Software-Versionen sind betroffen?

  • Office 2013, 2016, 2019, 2021,
  • Office Pro Plus und
  • Office 365

Also eigentlich alle Windows-Versionen, Mac scheint außen vor zu sein.

Was sollten Sie tun? Die übliche Empfehlung lautet: Öffnen Sie keine Anhänge aus unbekannten Quellen. Das halte ich aber nicht mehr für zeitgemäß. Seien Sie einfach kritisch gegenüber jedem Anhang, denn wenn ein Rechner von einer solchen Schadsoftware gekapert ist, kann auch das Mail-Programm und alle Kontakte darin verwendet werden, um sich weiter zu verbreiten.

Meine persönliche Empfehlung wäre, weichen Sie auf die Heibox (https://www.urz.uni-heidelberg.de/de/support/anleitungen/heibox-einfuehrung) aus, legen Sie Office-Dateien dorthin und versenden einen Link für den Empfänger zum Download. Die Wahrscheinlichkeit, dass diese dazu notwendigen Klicks von einem Hacker nachgebaut werden sind deutliche geringer.

Marion Lammarsch, IT-Beauftragte des Psychologischen Instituts


Alle News