Jetzt auch mobil Kommentieren!

Windows 10: Office kann den neuen Ransomware-Schutz aushebeln

Von Christian Kahle am 07.02.2018 14:31 Uhr
5 Kommentare
Aktuell köchelt eine Diskussion um eine vermeintliche Schwachstelle im neuen Ransomware-Schutz, den Microsoft in Windows 10 integrierte, vor sich hin. Tatsächlich tut sich hier ein Weg auf, geschützte Daten trotzdem unzugänglich zu machen. Einen Bug stellt das nicht direkt dar - wohl aber eine Design-Schwäche, die die Wirkung der Security-Funktion reduziert.

Der vielbeachtete Ransomware-Schutz trägt offiziell die Bezeichnung Controlled Folder Access (CFA). Dieser sorgt dafür, dass Anwender Ordner definieren können, in denen nur noch bestimmte Applikationen Schreibrechte haben. Ransomware, die in Form einer klassischen Malware auf dem Rechner zur Ausführung kommt, könnte die Daten in dem Verzeichnis mangels Schreibrechten nicht mehr Verschlüsseln und den User somit auch nicht mit ihnen erpressen.

Der Sicherheitsforscher Yago Jesus von der Firma Security by Default wies nun aber darauf hin, dass CFA keineswegs einen Rundumschutz vor Ransomware darstellt. Denn es gibt ja eben noch die Anwendungen mit Schreibrechten. Neben jenen, die der Anwender definiert hat, gehören zu dieser Gruppe auch alle Applikationen, denen Microsoft vertraut - also natürlich die Microsoft Office-Applikationen, wie die Kollegen von Heise anmerkten.

Windows Defender Exploit Guard


Windows Defender Exploit Guard

Das bedeutet letztlich, dass sich eine Ransomware lediglich die Skripting-Funktionen der Office-Anwendungen zunutze machen muss, um letztlich die gewünschte Wirkung zu erzielen. Wie das prinzipiell funktionieren kann, demonstrierte der Sicherheitsforscher anhand eines kleinen Python-Skripts, mit dem er die Inhalte von Word-Dokumenten einfach mit einem eigenen Passwort-Schutz versah.

Windows 10: So nutzt man den Ransomware- und Exploit-Schutz

Mit Social Engineering zum Erfolg

Da Microsoft in den letzten Jahren doch einiges für die Sicherheit seiner Produkte getan hat und es heute nicht mehr so trivial wie einst ist, Systeme mit Makroviren oder Ähnlichem zu attackieren, bedarf es schon etwas Fingerspitzengefühls, auf diese Weise erfolgreich zu sein. Allerdings muss man dabei bedenken, dass diverse Ransomware-Kampagnen durch einen ordentlichen Anteil an Social Engineering zum Erfolg kamen.

Es stellt letztlich also nicht die größte Hürde dar, eine nennenswerte Zahl von Nutzern dazu zu bringen, ein entsprechendes Skript aus einer Spam-Mail heraus zu starten und einen erfolgreichen Ransomware-Angriff über Office-Applikationen auszuführen. Und Anwender, die man zu einer solchen Mithilfe bringen kann, dürften auch von einem Passwort-Schutz auf ihren Word-Dateien hinreichend beeindruckt sein, um ihnen den Zugangscode dann gegen ein Lösegeld zu verkaufen.

Das Sicherheits-Team Microsofts hat den entsprechenden Bug-Report analysiert und meldete sich mit der Einschätzung zurück, dass man es hier nicht mit einer richtigen Sicherheitslücke zu tun habe. Immerhin handle es sich bei dem Ransomware-Schutz nicht um ein klassisches Security-System, sondern eben nur um einen eingeschränkten zusätzlichen Schutz-Layer. Es ist daher nicht zu erwarten, dass hier ein Patch die Folge sein wird. Die Microsoft-Entwickler erklärten allerdings, trotzdem an einer besseren Lösung arbeiten zu wollen. Wann diese allerdings verfügbar sein wird und wie sie aussehen soll, ist aktuell noch völlig unklar.
whatsapp
Jede Woche neu: Top-News per E-Mail
5 Kommentare lesen & antworten
Verwandte Themen
Windows 10
Hoch © 2000 - 2018 WinFuture Impressum