Weder Microsoft noch seine Kunden kommen zu Ruhe: Cyber-Kriminelle nutzen immer neue Schwachstellen aus
Auch Sicherheitsfunktionen, die eigentlich das Arbeiten mit Microsoft-Produkten absichern sollen, wie etwa Secure Boot, sind beliebte Ziele von Cyber-Kriminellen. Bei Secure Boot handelt es sich um eine Funktion, die auf Endgeräten mit Unified Extensible Firmware Interface (UEFI)-Firmware und einem Trusted Platform Module (TPM)-Chip das Laden von nicht vertrauenswürdigen Bootloadern verhindern und den Zugriff von Rootkits (also Malware, die Hackern Zugang zu dem Zielgerät verschafft) während des Startvorgangs vereiteln soll.
Aktuell nutzen Cyber-Kriminelle bestehende Schwachstellen aus und erhalten mit UEFI-Malware die volle Kontrolle über den Bootvorgang des infizierten Betriebssystems. Sie können verschiedene Sicherheitsmechanismen deaktivieren, noch bevor das Betriebssystem überhaupt geladen ist. Gleichzeitig können sie zum einen unentdeckt agieren, zum anderen sichern sie sich ausgedehnte Zugriffsrechte, während sie sich im System bewegen. „Das Risiko von Cyberattacken für Unternehmen und Privatpersonen ist unverändert hoch“, schätzt etwa Tim Berghoff, Security Evangelist bei der G DATA Cyber Defense AG die Bedrohungslage ein. „Die aktuellen Untersuchungen zeigen, dass Cyberkriminelle keine Schwachstellen auslassen, um in Netzwerke einzudringen. Und sie finden immer noch neue Möglichkeiten, Systeme mit Schadsoftware zu kompromittieren. Darüber hinaus sind aktuell Schwachstellen im UEFI-SecureBoot ein großes Problem, weil diese oft herstellerseitig teils lange ungepatcht bleiben.“
In den letzten Monaten waren nach Angaben von Cyber-Sicherheitsanalysten zudem für Microsoft-Nutzer Phishing-Attacken mit infizierten Anhängen ein großes Thema. Cyber-Kriminelle hatten Phishing-Kampagnen mit infizierten OneNote- oder PUB-Dateien gelauncht. Eine Sicherheitslücke ermöglichte es Angreifern, eine Sicherheitsfunktion zu Office-Makrorichtlinien im Microsoft Publisher zu umgehen und so quasi abzustellen, dass nicht vertrauenswürdige oder bösartige Dateien blockiert werden. G-DATA-Experte Berghoff erläutert, dass Microsoft die Schwachstelle zwar bereits geschlossen habe, wer jedoch die automatischen Updates deaktiviert hat, sei weiterhin gefährdet. Angreifer nutzten diese Schwachstelle, um Zielsysteme zu infizieren. Anwender, die das Update verschoben hätten, müssten umgehend handeln und den Prozess manuell starten.
Als Antwort auf die von Microsoft inzwischen stark eingeschränkten Office-Makros – Microsoft hatte wegen des hohen Malware-Risikos die Ausführung von Makros in Dateien wie Word-Dokumenten oder Excel-Tabellen standardmäßig unterbunden – haben sich Cyber-Kriminelle in den letzten Wochen vermehrt auf die Nutzung von OneNote-Dateien als Startpunkt für Infektionen verlegt und Schadsoftware häufiger als OneNote-Notiz getarnt. Für einen Angriff anvisierte Nutzer erhalten einen Mailanhang mit einem OneNote-Dokument. Nach dem Öffnen der Datei, erscheint eine Aufforderung, das schreibgeschützte Dokument mit einem Doppelklick zu entsperren. Wer dieser Anweisung Folge leistet, führt die eingebettete Schadsoftware aus und installiert einen Screenshooter oder einen Information Stealer, so dass die Angreifer persönliche Informationen wie etwa Anmeldedaten abgreifen können.
