Comp4U Ladeanimation

Ransomware-Schutz von Microsoft kann umgangen werden: Mithilfe von Microsoft Office

Microsoft hat Mitte des letzten Jahres eine neue Sicherheitsmechanik in Windows 10 integriert. Die „Controlled Folder Access“ (CFA) genannte Funktion erlaubt es dem Anwender, bestimmte Ordner so zu schützen, dass nur spezielle Apps darauf Zugriff bekommen. Dieser Schutz lässt sich mit Hilfe von Office aber leicht umgehen.

Einige von Microsoft als vertrauenswürdig eingestufte Anwendungen dürfen diesen Ordnerschutz aber umgehen und haben unabhängig von CFA immer Zugriff auf diese Ordner. Zu diesen Anwendungen gehören auch die Office Apps. Das könnte durchaus Sinn machen, da Office schließlich von Microsoft selbst vertrieben wird und von Windows Update immer auf den neusten Stand gehalten wird. Wäre da nicht der Umstand, dass viele Trojaner manipulierte Office-Dokumente nutzen um ihren Schadcode mittels Word & Co. auszuführen. Der bekannte Trojaner „Goldeneye“ ist ein Paradebeispiel hierfür. Dieser verteilte sich über an Phishing-E-Mails angehängte Office-Dokumente.

Diese Schwachstelle wurde von einem Sicherheitsforscher der spanischen Sicherheitsfirma Security by Default entdeckt. Ihm gelang es, ein Python-Skript zu schreiben, dass Microsoft Word dazu benutzt, in einen CFA geschützten Ordner zuzugreifen. Das Skript nutz einfach Microsofts OLE-Schnittstelle um Word für seine Zwecke einzuspannen.

Microsoft stuft das nicht als Sicherheitslücke ein

Als wäre es nicht schon fragwürdig genug, die eigenen Office-Programme als harmlos einzustufen, obwohl diese vielfach für die Verteilung von Malware genutzt werden, klassifiziert Microsoft das Problem offiziell nicht als Sicherheitslücke: Der Exploit Guard des Windows Defender sei "keine Sicherheitsbarriere". CFA ist eine Funktion des Windows Defender Exploit Guard (WDEG), der wiederum ein Nachfolger des Härtungs-Tools EMET ist.

Warum jedoch eine angreifbare Schwachstelle einer Sicherheitsfunktion in Windows keine Schwachstelle sein soll, erklärt das zwar nicht, trotzdem will Microsoft im Rahmen „einer Verbesserung der Controlled Folder Access Funktion“ das Problem beheben. Wann und wie genau das passieren soll, teile Microsoft allerdings nicht mit.

---

Nutzen Sie unsere EDV-Beratung: Die IT-Sicherheits-Experten der Comp4U GmbH stellen wirksam sicher, dass Ihre Systeme vor Angriffen geschützt sind. Sprechen Sie uns an, wir sichern Ihr Netzwerk ab. Die Überwachung auf Sicherheitslücken bieten wir Ihnen auch als Modul für unsere flexiblen Managed-Services ServicePLUS - nutzen Sie unsere kostenlose EDV-Beratung und informieren sich: Schon morgen können wir Ihre externe IT-Abteilung sein.