70 Prozent der Angriffe zielen auf Office-Schwachstellen

Microsoft Office-Produkte sind nach Angriffs-und Nutzungsdaten von Kaspersky Lab das Top-Ziel für Hacker. In einer Präsentation auf seiner Sicherheitskonferenz - dem Security Analyst Summit - sagte das Unternehmen, dass rund 70 Prozent der Angriffe, die seine Produkte im vierten Quartal 2018 entdeckt haben, versuchen, eine Microsoft Office-Lücke zu missbrauchen. Das ist mehr als das Vierfache des Prozentsatzes, den das Unternehmen zwei Jahre zuvor verzeichnete, im vierten Quartal 2016, als Office-Schwachstellen noch einen mageren Anteil von 16 Prozent hatten.

Angriffe zielen auf veraltete Office-Komponenten ab

"Eine interessante Nebenbemerkung", sagte Kaspersky: "Keine der am häufigsten ausgenutzten Schwachstellen befindet sich in MS Office selbst. Vielmehr existieren die Schwachstellen in verwandten Komponenten." So wirken sich beispielsweise zwei der am häufigsten ausgenutzten Schwachstellen, CVE-2017-11882 und CVE-2018-0802, auf die Legacy Equation Editor-Komponente von Office aus. "Ein Blick auf die am häufigsten ausgenutzten Schwachstellen des Jahres 2018 bestätigt genau das. Malware-Autoren bevorzugen einfache, logische Fehler", sagte das Unternehmen.

"Aus diesem Grund sind die Schwachstellen des Gleichungseditors CVE-2017-11882 und CVE-2018-0802 heute die am häufigsten ausgenutzten Fehler in MS Office. Einfach ausgedrückt, sind sie zuverlässig und funktionieren in jeder Version von Word, die in den letzten 17 Jahren veröffentlicht wurde", sagten Forscher. "Und, was am wichtigsten ist, um einen Erfolg für beide zu erzielen, braucht man keine fortgeschrittenen Fähigkeiten."

Darüber hinaus werden die Schwachstellen, auch wenn sie Microsoft Office und seine Komponenten nicht direkt betreffen, über Office-Dateien ausgenutzt. CVE-2018-8174 ist beispielsweise ein Fehler in der Windows VBScript-Engine, den die Office-App auch bei der Verarbeitung von Office-Dokumenten verwendet.

Eine ähnliche Situation gilt auch für CVE-2016-0189 und CVE-2018-8373, beides Schwachstellen in der Internet Explorer-Skript-Engine, die auch über Office-Dateien ausgenutzt werden können - wo die Skript-Engine des IE zur Verarbeitung webbasierter Inhalte verwendet wird.

Die gleichen Schlussfolgerungen aus den Angriffen des Office Equation Editors gelten auch hier. Diese Schwachstellen nutzen Komponenten aus, die seit vielen Jahren in Office verwendet werden, und das Entfernen dieser Komponenten würde die Abwärtskompatibilität von Office beeinträchtigen.

Aufgezeichnete Zukunft sah Ähnliches

Darüber hinaus gibt ein weiterer Bericht, der im vergangenen Monat von der Sicherheitsfirma Recorded Future veröffentlicht wurde, Kasperskys jüngsten Erkenntnissen Recht. In einem Bericht , in dem die am meisten ausgebeuteten Schwachstellen im Jahr 2018 detailliert beschrieben werden, rangierte Recorded Future in den Top 10 auf Platzsechs der Office-Fehler.

#1, #3, #5, #6, #7 und #8 sind Office-Fehler oder Schwachstellen, die mit Hilfe von Office-Dokumenten ausgenutzt werden können.

  1. CVE-2018-8174 – Microsoft (über Office-Dateien ausnutzbar)
  2. CVE-2018-4878 – Adobe
  3. CVE-2017-11882 – Microsoft (Bürofehler)
  4. CVE-2017-8750 – Microsoft
  5. CVE-2017-0199 – Microsoft (Office Fehler)
  6. CVE-2016-0189 – Microsoft (über Office-Dateien ausnutzbar)
  7. CVE-2017-8570 – Microsoft (Bürofehler)
  8. CVE-2018-8373 – Microsoft (über Office-Dateien ausnutzbar)
  9. CVE-2012-0158 – Microsoft
  10. CVE-2015-1805 – Google Android

Office-Schwachstellen sind ein eigenes Ökosystem geworden

Kaspersky sagte, dass einer der Gründe, warum Office-Fehler oft das Ziel von Malware-Verteilungskampagnen werden, darin besteht, dass ein ganzes kriminelles Ökosystem um sie herum existiert. Sobald Details über eine Office-Schwachstelle bekannt werden, erscheint innerhalb weniger Tage ein Exploit für sie auf dem dunklen Markt. "Bugs selbst sind viel weniger komplex geworden, und manchmal ist eine detaillierte Darstellung alles, was ein Cyberkrimineller braucht, um einen funktionierenden Exploit aufzubauen", sagte Kaspersky.

Nicht nur gewöhnliche Kriminelle kaufen auf dem Schwarzmarkt und begünstigen diesen damit: Auch Regierungsorganisationen wie Geheimdienste versorgen sich dort mit Sicherheitslücken, um diese selbst ausnutzen zu können, statt den Hersteller zu informieren.