Trojaner installiert sich über kritisches Sicherheitsleck in Word
Hacker aus China und Taiwan nutzen derzeit eine Lücke in Microsofts Textprogramm, um eine Hintertür auf dem System zu installieren. Dieser Backdoor.Ginwui genannte Angreifer verbreitet sich als Word-Dokument über E-Mails, die sich als interne Nachrichten tarnen und nicht von Spam- oder Antiviren-Filtern aussortiert werden.
Backdoor.Ginwui wurde erstmals in einer in Japan ansässigen Firma gefunden. Das Angriffszenario entspricht den unlängst befürchteten, gezielten Attacken, die nur sehr schwer zu erkennen sind. Der Angreifer installiert nach dem Öffnen des Dokuments unbemerkt eine Hintertür, über die ein Angreifer nun die Kontrolle über den PC erlangen könnte. Nach aktuellen Erkenntissen von Sicherheitsexperten überschreibt er anschließend den Inhalt der ursprünglichen Word-Datei und provoziert so einen Absturz von Word. Nach erneutem Öffnen ist dann nur ein Dokument mit einer harmlosen Nachricht zu sehen.
Nach der Installation sendet die Backdoor Pings an IP-Addressen in Asien, teilt nun also mit, wo sie erreichbar ist. Weitere Details sind bisher eher spärlich: Vor Entdeckungen schützt sich der Eindringling mit Rootkit-Techniken. Zudem werde anscheinend auch eine RBot-Variante installiert, die diverse System-Informationen einholt, beispielsweise über installierte Anti-Viren-Scanner oder auch den Inhalt diverser Ordner und Dateien.
Angriffe wie dieser sind der Stoff aus dem die Alpträume der Sicherheitsexperten gestrickt sind: restriktive Firmen-Firewall, aktuelle Antiviren-Software auf den Servern und Desktops, alle Sicherheits-Updates installiert – und all das hilft nicht. Aus Sicht des Anwenders hat nur "die Textverarbeitung mal wieder gesponnen" während im Hintergrund sein Rechner infiziert wurde und zukünftig beispielsweise Firmengeheimnisse ausspionieren und an Dritte weiterleiten könnte.
Die als hoch kritisch eingestufte Sicherheitslücke wurde bisher bei Microsoft Word 2002 und Microsoft Word 2003 diagnostiziert. Details über den Mechanismus liegen noch nicht vor, ebensowenig ein Patch, der die Sicherheitslücke stopft. Die Erkennungsraten von Antiviren-Software sind laut Andreas Marx von AV-Test noch sehr mager, nur F-Secure, McAfee und Symantec erkennen schon einige der fraglichen Dateien. Auch wenn bisher nur wenige dieser trojanischen Mails an ausgewählte Ziele verschickt wurden, ist damit zu rechnen, dass die Schwachstelle nach ihrem Bekanntwerden in größerem Umfang ausgenutzt wird.
Deshalb gilt: Unbekannte Office-Dokumente möglichst nicht öffnen; im Zweifelsfall hilft eine kurze Rückfrage beim vermeintlichen Absender, eine mögliche Infektion zu vermeiden.
Siehe dazu auch:
- Targeted attack: experience from the trenches Meldung des Internet Storm Centers
- Trojan.Mdropper.H Beschreibung von Symantec
- Backdoor.Ginwui Beschreibung von Symantec
Quelle: heise