Word Makro - Hinweis auf die verbleibenden Gefahren

Word Makro

Hinweis auf die verbleibenden Gefahren

Marc Ruef
by Marc Ruef
time to read: 2 minutes

Um die Jahrtausendwende herum wurden mit Melissa und Iloveyou eine Virenplage sondergleichen losgetreten. Die mediale Wirksamkeit dieser aus heutiger Sicht eher primitiven Makroviren war noch nie dagewesen und deshalb die Risiken von VBA in Office-Dokumenten schlagartig im Bewusstsein der Benutzer und Administratoren.

Doch heute scheint dies, da man sich auf der vermeintlichen Mächtigkeit der Antiviren-Lösungen abstützt, schon wieder vergessen zu sein. Oder wie kommt es, dass wir regelmässig von grösseren Unternehmen Word-Dokumente erhalten, die VBA-Code enthalten?

Bevor wir jüngst einen solchen natürlich zugelassen haben, wollten wir zuerst schauen, was er denn effektiv macht. Und zu unserem Erstaunen mussten wir feststellen, dass hier leere Funktionsaufrufe gegeben sind (siehe anonymisierter Screenshot).

Leere VBA-Funktionen in Word

Selbstverständlich haben wir diesen nützlichen sinnlosen Code aus dem durch uns bearbeiteten Konzept entfernt. Und gleichzeit haben wir uns die Notiz gemacht, dass man den besagten Kunden zur internen Makro-Richtlinie befragen sollte.

Empfohlene Makro-Sicherheit in Word

Allem Anschein nach werden diese breitflächig genutzt (die Sicherheitseinstellungen werden wohl auf Mittel oder Niedrig gesetzt sein), wodurch sich der Einsatz unseres Word Makro Trojaners anbieten würde: Mittels reinem VBA-Code, dieser pflegt in erster Linie API Calls zu DLLs des Betriebssystems zu nutzen, können wir eine Fernsteuerung eines kompromittierten Systems vornehmen. Und dies alleine mit dem Öffnen eines präparierten Word-Dokuments. Siehe zu diesem Thema ebenfalls den Blog-Beitrag Unterschätze nie den Makrovirus.

About the Author

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

You want to test the strength of your enterprise regarding malware attacks?

Our experts will get in contact with you!

×
Specific Criticism of CVSS4

Specific Criticism of CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentication

Voice Authentication

Marc Ruef

Bug Bounty

Bug Bounty

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here