23. Mai 2006:

Kritisches Sicherheitsleck in MS Word

Wieder einmal lässt Softwarefirma Microsoft ihre Kunden schutzlos im Regen stehen. Dieses Mal geht es nicht um den Redmonder Hausbrowser Internet Explorer, sondern um Microsofts Textverarbeitung MS Word. Betroffen sind die Versionen MS Word XP und Word 2003. Hacker aus China und Taiwan nutzen eine Lücke in diesen Programmen, um einen Trojaner in die Rechner einzuschleusen. Sein Name lautet bei der Antiviren-Firma Symantec Mdropper.H. Andere Sicherheitsunternehmen haben ihm wieder einmal eigene Namen gegeben. Doch Verbreitungsweg und Auftrag bleiben immer gleich: Der Schädling gelangt über ein manipuliertes Worddokument in den Rechner, soll dort eine Systemhintertür öffnen und ein weiteres Schadprogramm namens Backdoor.Ginwui installieren. Microsoft wird dieses gravierende Sicherheitsloch frühestens zum nächsten Patch-Tag am 13. Juni schließen.

Wie Ginwui arbeitet
Backdoor.Ginwui ist ein agiles Kerlchen. Der Schädling gelangt über ein manipuliertes Worddokument, das beispielsweise gezielt per Email an eine Firma verschickt wird, in den Rechner. Dort öffnet das Trojanische Pferd eine Systemhintertür. Außerdem manipuliert es den befallenen Rechner so, dass ein Angreifer die vollständige Kontrolle übernehmen kann. Anschließend überschreibt Ginwui den Inhalt der manipulierten Worddatei und verursacht einen Systemabsturz. Wird der Rechner neu gestartet und das ursprüngliche Dokument geöffnet, befindet sich in ihm nur noch eine harmlose Nachricht. Ginwui hat somit alle Spuren beseitigt. Der Nutzer wähnt sich völlig sicher.

Schnüffler im System
Wurde die Systemhintertür geöffnet, meldet sich der Rechner automatisch bei vorgegebenen IP-Adressen an. Ginwui übermittelt seinem Urheber dadurch die Botschaft, dass er erfolgreich installiert wurde und nun auf Befehle von außen wartet. Derzeit wird der Schädling, der bisher vor allem in Japan auftrat, von den Antivirenfirmen noch analysiert. Soweit ersichtlich nutzt das Schadprogramm Rootkit-Techniken, um sich vor Entdeckung durch Antivirensoftware zu schützen. Daneben ist der Schädling offenbar auch in der Lage, das System auszuspionieren. Herkömmliche Schutzsoftware kann das Schadprogramm noch nicht sicher aufspüren. Mit anderen Worten: Nutzer des Textprogramms MS Word XP und Word 2003 stehen solchen Angriffen schutzlos gegenüber. Die einzige Möglichkeit, die dem Nutzer bleibt, ist, „fremde“ Worddateien nicht zu öffnen.

Vorsicht bei „fremden“ Worddokumenten
Das US-amerikanische SANS-Institut gibt darüber hinaus weitere Verhaltensregeln bekannt. Word-Nutzer sollten alle unverlangt eingesandten Worddokumente zunächst mit ihrem Antiviren-Scanner überprüfen. Die Antivirenfirmen arbeiten an Signaturen-Updates. Vor der Überprüfung sollte die Schutzsoftware deshalb in jedem Fall aktualisiert werden. Nicht betroffen von dieser Sicherheitslücke ist offenbar der MS Word Viewer, mit dem Worddokumente nur gelesen, nicht aber geschrieben werden können. Unbekannte Worddokumente sollten deshalb nur mit diesem Viewer geöffnet werden.

Nachahmer befürchtet
Bisher sind nur wenige Schädlinge aufgetaucht, die die fragliche Sicherheitslücke in den MS-Textverarbeitungsprogrammen ausnutzen. Da die Sicherheitslücke allerdings veröffentlicht wurde und mit einem Patch von Microsoft frühestens am 13. Juni zu rechnen ist, wird es vermutlich nicht lange dauern, bis die Schwachstelle in größerem Umfang ausgenutzt wird. Sie eignet sich hervorragend für Industrie- und Wirtschaftsspionage, weil einzelne Firmen gezielt angegriffen werden können. Es reicht aus, diesen Firmen ein manipuliertes Worddokument zuzuschicken.

Zurück zur News-Übersicht