Sicherheitslücke in der Microsoft Excel-Verschlüsselung ebnet den Weg für Malware

Anmerkung der Redaktion: Vielen Dank an Doron Attias und Tal Dery vom Mimecast Threat Center für diese Entdeckung.

Die Forscher des Mimecast Threat Center haben einen Anstieg der LimeRAT Malware entdeckt, die das Standardpasswort der Microsoft Excel-Tabelle VelvetSweatshop verwendet. Diese neue Untersuchung zeigt, dass eine Excel-Datei schreibgeschützt ist - im Gegensatz zum Sperren - und die Datei verschlüsselt wird, ohne dass ein von außen erstelltes Passwort zum Öffnen erforderlich ist.

Wie VelvetSweatshop den Weg für die Verbreitung von Malware ebnete

Microsoft Office®-Dateien gehören zu den beliebtesten Dateiformaten für die Verbreitung von Malware per E-Mail. Die Microsoft Office-Anwendungen, die diese Dateien öffnen und ausführen können, sind weit verbreitet, die Dateien lassen sich leicht ändern, um eine einfache Erkennung durch Dateisignaturen zu vermeiden, sie sind makroaktiviert, um das Ausführen von benutzerdefiniertem Code zu erleichtern, und sie werden regelmäßig von Verbrauchern und Geschäftsleuten per E-Mail verbreitet. Sicherlich sind nur wenige überrascht, wenn sie Rechnungen oder Anhänge von Finanztabellen per E-Mail erhalten.

Die einfache Handhabung und die weite Verbreitung haben jedoch auch Nachteile. Diese Popularität bedeutet, dass das Ausnutzen von Excel-Dateien seit langem zum Standard-Angriffsarsenal von Cyberkriminellen gehört, und der Erhalt passwortgeschützter Excel-Dateien ist aufgrund des interessanten oder sensiblen Inhalts auch eine gängige Geschäftspraxis.

Excel-Dateien sind so konzipiert, dass sie leicht verschlüsselt werden können, bevor sie per E-Mail verschickt werden, was Angreifern hilft, die Erkennung durch gängige Malware-Erkennungssysteme zu umgehen. Wenn Sie eine Excel-Datei mit einem Kennwort sperren, verschlüsseln Sie die gesamte Datei, indem Sie das Kennwort als Verschlüsselungs-/Entschlüsselungsschlüssel verwenden. Um die Datei zu öffnen, benötigt das beabsichtigte Opfer das gleiche Kennwort. Wenn ein Opfer einen verschlüsselten Anhang in einer sozial manipulierten E-Mail erhält, wird es aufgefordert, das in der Phishing-E-Mail enthaltene Kennwort zu verwenden, um die angehängte Datei zu öffnen. Und schon ist das Opfer reingelegt!

Aber was wäre, wenn Angreifer eine bösartige, verschlüsselte Excel-Datei übermitteln könnten, ohne dass das beabsichtigte Opfer etwas anderes tun müsste, als die angehängte Datei zu öffnen? Der Teil, in dem man das Opfer zur Eingabe des Kennworts auffordern muss, entfällt - und damit auch die gesamte Netzwerkverteidigung. Ein einfacher Doppelklick auf die Datei würde genügen.

Um eine verschlüsselte Excel-Datei zu entschlüsseln, versucht Excel zunächst, das eingebettete Standardkennwort "VelvetSweatshop" zu verwenden, um die Datei zu entschlüsseln und zu öffnen und alle integrierten Makros oder anderen potenziell schädlichen Code auszuführen, während die Datei schreibgeschützt bleibt. Wenn die Datei mit dem Kennwort "VelvestSweatshop" nicht entschlüsselt werden kann, fordert Excel den Benutzer auf, ein Kennwort einzugeben, wie in Abbildung 1 unten dargestellt. Der Vorteil des Nur-Lese-Modus für Excel besteht für den Angreifer darin, dass keine Benutzereingaben erforderlich sind und das Microsoft Office-System keine anderen Warnmeldungen als den Hinweis, dass die Datei schreibgeschützt ist, ausgibt. Mit dieser Nur-Lese-Technik kann der Angreifer die Vorteile der Dateiverschlüsselung nutzen, ohne weitere Eingaben vom Benutzer zu verlangen, und nimmt dem Opfer einen Schritt ab, der für die Ausnutzung erforderlich ist.

Abbildung 1: Für den Zugriff auf eine gesperrte Excel-Datei ist ein Kennwort erforderlich

LimeRAT-Malware wird in freier Wildbahn ausgenutzt

Kürzlich stießen die Bedrohungsforscher von Mimecast auf eine Kampagne, die diese Excel VelvetSweatshop-Verschlüsselungstechnik nutzte, um LimeRAT, einen bösartigen Trojaner für den Fernzugriff, zu verbreiten.

Bei diesem speziellen Angriff setzten die Cyberkriminellen auch eine Mischung anderer Techniken ein, um Anti-Malware-Systeme zu täuschen, indem sie den Inhalt der Tabellenkalkulation verschlüsselten und so den Exploit und die Nutzlast versteckten.

Sobald LimeRAT gelandet ist, stehen dem Angreifer viele Möglichkeiten zur Verfügung, wie z. B. die Verbreitung von Ransomware, einem Cryptominer, einem Keylogger oder die Erstellung eines Bot-Clients.

Angesichts der allgemeinen Möglichkeiten dieser Excel-basierten Malware-Verbreitungstechnik ist natürlich jede Art von Malware ein guter Kandidat für die Verbreitung, so dass die Mimecast-Forscher davon ausgehen, dass sie in Zukunft in vielen weiteren bösartigen Phishing-Kampagnen zum Einsatz kommen wird. Das Mimecast Threat Center hat Microsoft auf diese Kampagne aufmerksam gemacht.

Wie Sie Ihr Unternehmen gegen Payload-Malware verteidigen können

Aufgrund der Beliebtheit und Benutzerfreundlichkeit von Microsoft Excel-Tabellen ist die VelvetSweatshop-Technik, die wieder aufgetaucht ist, um LimeRAT-Malware zu verbreiten, wahrscheinlich besonders gefährlich. Befolgen Sie diese Schritte, um Ihr Risiko zu minimieren.

• Bringen Sie Ihren Benutzern bei, alle empfangenen E-Mails zu überprüfen, insbesondere solche mit Dateianhängen. Diese Angriffstechnik verringert zwar die Notwendigkeit eines Benutzereingriffs, beseitigt ihn aber nicht vollständig, da die Empfänger die Datei immer noch öffnen müssen.
• Verwenden Sie ein E-Mail-Sicherheitssystem mit fortschrittlichen Malware-Schutzfunktionen , die sowohl die Analyse statischer Dateien als auch Sandboxing umfassen, um diese bösartigen E-Mails vor der Zustellung herauszufiltern.
• Überwachen Sie Ihren Netzwerkverkehr auf ausgehende Verbindungen zu möglichen Command-and-Control-Diensten.
• Aktualisieren Sie Ihr Sicherheitssystem für Endgeräte kontinuierlich, um die Wahrscheinlichkeit zu erhöhen, dass auf dem Host geladene oder ausgeführte bösartige Software erkannt wird.

Wenden Sie sich an Mimecast, wenn Sie weitere Informationen oder Details zu dieser Studie wünschen.

Dieser Threat Intelligence Research Blog dient nur zu allgemeinen Informationszwecken und sollte nicht als Ersatz für eine Beratung durch professionelle Berater verwendet werden. Mimecast Services Limited und die mit ihr verbundenen Unternehmen (zusammen "Mimecast") haben bei der Erfassung, Verarbeitung und Berichterstattung dieser Informationen angemessene Sorgfalt walten lassen, haben die Daten jedoch nicht unabhängig verifiziert, validiert oder geprüft, um die Richtigkeit oder Vollständigkeit der Informationen zu verifizieren. Mimecast ist nicht verantwortlich für Fehler oder Auslassungen in diesem Threat Intelligence Research Blog und behält sich das Recht vor, jederzeit und ohne Vorankündigung Änderungen vorzunehmen. Die Erwähnung von Produkten oder Dienstleistungen, die nicht von Mimecast stammen, dient nur zu Informationszwecken und stellt weder eine Befürwortung noch eine Empfehlung seitens Mimecast dar. Alle Informationen von Mimecast und Dritten, die in diesem Blog bereitgestellt werden, werden ohne Gewähr bereitgestellt. MIMECAST LEHNT ALLE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN GARANTIEN IN BEZUG AUF DIE IN DIESEM BLOG BEREITGESTELLTEN INFORMATIONEN (EINSCHLIESSLICH SOFTWARE, PRODUKTE ODER DIENSTLEISTUNGEN) AB, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIEN DER MARKTGÄNGIGKEIT UND EIGNUNG FÜR EINEN BESTIMMTEN ZWECK SOWIE DER NICHTVERLETZUNG VON RECHTEN DRITTER. Einige Gerichtsbarkeiten lassen den Ausschluss stillschweigender Garantien nicht zu, so dass der obige Ausschluss möglicherweise nicht auf Sie zutrifft. In keinem Fall haftet Mimecast für irgendwelche Schäden, und insbesondere haftet Mimecast nicht für direkte, besondere, indirekte, Folge- oder Nebenschäden oder für Schäden aus entgangenem Gewinn, entgangenen Einnahmen oder Nutzungsausfall, Kosten für Ersatzgüter, Verlust oder Beschädigung von Daten, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung einer Mimecast-Website oder einer Mimecast-Lösung ergeben. Dies gilt auch für Schäden, die durch die Nutzung von oder im Vertrauen auf die in diesem Blog enthaltenen Dokumente oder Informationen entstehen, selbst wenn Mimecast auf die Möglichkeit solcher Schäden hingewiesen wurde.

Mimecast ist entweder eine eingetragene Marke oder eine Marke von Mimecast Services Limited in den Vereinigten Staaten und/oder anderen Ländern. Alle anderen Marken sind das Eigentum ihrer jeweiligen Inhaber.