Dass Microsoft in Sachen Sicherheit gerne schludert, ist nicht neu. Der Sicherheitsexperte Kevin Beaumont hat bereits im März versucht, Microsoft auf eine schwerwiegende Sicherheitslücke in allen MS Office-Versionen auf allen Windows-Versionen hinzuweisen. Microsoft hält die betreffende Funktionalität jedoch nicht für einen Fehler, sondern eine legitime Funktion, weshalb kein Eingreifen notwendig sei.
It’s not a bug, it’s a feature
Konkret geht es darum, dass mittels der OLE-Technik (Object Linking and Embedding) das Einbetten von Elementen aus anderen Programmen in MS Office-Dokumente in großem Umfang möglich ist. So kann eine Excel-Tabelle zum Beispiel in ein Word-Dokument eingebettet werden. Allerdings kann auch ein komplettes ausführbares Programm in beliebige MS Office-Dokumente eingebettet werden, und keine der zahlreichen nachgerüsteten Sicherheitsfunktionen, wie z.B. die Rückfragen beim Ausführen von Makros, greift an diesem Punkt. Windows führt das eingebettete Programm einfach aus.
Beaumont stellt in seiner Zusammenfassung Dokumente bereit, die das illustrieren: ein Word-Dokument, das den Computer sperrt, und eine Excel-Tabelle, die die Funktionen der linken und rechten Maustaste vertauscht, was auch einen Neustart übersteht. Natürlich könnte statt dieser Funktionen jederzeit etwas wirklich Schädliches in beliebige MS Office-Dokumente eingebettet werden.
Beaumont gibt des weiteren an, dass es bereits konkrete Angriffe auf dieser Basis gibt. Microsoft sieht dennoch keinen Grund, etwas an der OLE-Funktion zu ändern. Es gibt zwar seit langem bereits eine eingebaute Liste von OLE-Elementen, bei denen eine Warnung vor potentieller Gefährlichkeit erfolgt, diese wurde aber nicht mehr aktualisiert, so dass eine große Zahl potentiell gefährlicher Dateiformate, wie zum Beispiel PowerShell-Skripte, darin nicht berücksichtigt werden.
Dass Warnungsmeldungen von den meisten Anwendern sowieso nicht gelesen, sondern reflexartig wegbestätigt werden, kommt noch hinzu.
Virenscanner? Fehlanzeige
Sicherheitsprogramme wie Virenscanner enthalten keine Funktionen, um OLE-Objekte in Office-Dokumenten zu überprüfen. Von dieser Seite ist also auch kein Schutz zu erwarten. Beaumont hat verschiedene Techniken und Programme auf das Problem angesetzt, und keines hat nach seinen Angaben bei eingebettetem Schadcode Alarm ausgelöst.
Anwender von MS Office sind dieser Sicherheitslücke also schutzlos ausgeliefert, woran sich nach derzeitigem Stand auch nichts ändern wird. OLE-Schadcode kann sich in allen Office-Dokumenten verbergen, also DOC, DOCX, XLS, XLSX, PPT, PPTX und außerdem auch in RTF. E-Mail-Anhänge oder Downloads solcher Dokumente sind nicht vertrauenswürdig und sollten äußerst vorsichtig behandelt werden. Natürlich muss man diese Dokumente zunächst einmal identifizieren können, was die in Windows seit jeher standardmäßige Ausblendung von Dateiendungen zuverlässig verhindert.
Sicherheit dürfte vor allem der Umstieg auf andere Office-Produkte bieten, die OLE-Objekte nicht verarbeiten können, zum Beispiel Libre Office und Open Office. Wie so oft besteht also der beste Schutz darin, die Produkte von Microsoft nicht einzusetzen.
