Monero Mining mittels Word Dokument möglich

Lars Sobiraj

von Lars Sobiraj

Am · Lesezeit: 4 Minuten

Lars Sobiraj

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Außerdem bringt Lars Sobiraj seit 2014 an der Kölner Hochschule Fresenius Studenten für Sustainable Marketing & Leadership (M.A.) den Umgang mit dem Internet und sozialen Netzwerken bei.

Teilen
microsoft word
BTC13,737.45 $ 4.79%

Wie Sicherheitsforscher berichten, ist nun sogar Cryptojacking mithilfe eines Microsoft Word Dokuments möglich. Die neueste Version von Word erlaubt das Einbinden von Code, der Webseiten aufrufen kann. Aufgrund fehlender Sicherheitsvorkehrungen durch Microsoft sind den Cyberkriminellen dadurch für ihre Vorhaben Tür und Tor öffnet.

Cyberkriminelle sind ständig auf der Suche nach neuen Möglichkeiten, um ihre Umsätze auf Kosten Dritter zu maximieren. Wenn sie sogar ein häufig genutztes Programm zu eigenen Zwecken missbrauchen können, ist das für sie ein Glücksfall. Die neueste Version von MS Word erlaubt das Einbinden von Code, der zum Beispiel selbstständig ein eigenes Browserfenster oder Tab öffnen kann, um eine vorgegebene Internet-Adresse aufzurufen. Amit Dori von der Sicherheitsfirma Votiro hat auf seinem Blog als Erster auf diese Problematik aufmerksam gemacht.

Anzeige

Bitcoin handeln auf Plus500

Bitcoin, Ethereum, Ripple, IOTA und die bekanntesten Kryptowährungen (CFD) auf Plus500 sicher handeln.

Warum Plus500? Führende CFD Handelsplattform; 40.000 EUR Demo-Konto; Mobile Trading-App; starker Hebel; große Auswahl an verschiedenen Finanzprodukten (Kryptowährungen, Gold Aktien, Rohstoffe, ETFs, Devisen, Indizies).

Jetzt Konto eröffnen

76,4% der Kleinanlegerkonten verlieren Geld beim CFD-Handel mit diesem Anbieter [Anzeige].


Für das Ausnutzen der Lücke gibt es verschiedene Szenarien. Am wahrscheinlichsten ist es, dass der Empfänger des Word Dokumentes aufgrund des Codes eine präparierte Webseite besucht, über die ein Drive-by-Trojaner auf sein Gerät eingeschleust wird. Abhängig vom Funktionsumfang des Trojaners hat der Hacker fortan volle Kontrolle über den gekaperten PC. Er kann z.B. alle Banktransfers einsehen, Usernamen und Passwörter abfangen, DDoS-Angriffe fahren, Kreditkartendetails speichern, von dort Spam-Mails verschicken und vieles mehr. Natürlich gäbe es auch die Möglichkeit, auf dem übernommenen Gerät eine Kryptowährung wie Monero zu schürfen. Beim zweiten Bedrohungsszenario wird der Rechner nicht übernommen. Durch den Code wird lediglich eine Webseite besucht, wo zum Beispiel mittels CoinHive Monero geschürft wird. Bis der Besuch der Webseite beendet ist, läuft dieser Vorgang weiter. Da ein besonders langer Aufenthalt zum maximalen Ergebnis führt, würde sich das Anzeigen eines Films auf einer eigenen Streaming-Webseite anbieten. Amit Dori führt als dritte Möglichkeit auf, die Nutzer auf täuschend echt aussehende Webseiten von PayPal, Amazon, ihrer Hausbank, den Kreditkartenanbieter etc. zu leiten, wo ihre Usernamen und Passwörter mittels Phishing abgegriffen werden sollen.

Gegenmaßnahmen wären für Microsoft mit wenig Aufwand verbunden

Der Aufwand, den Microsoft als Gegenmaßnahme durchführen müsste, wäre gering. Die Programmierer müssten in Word lediglich eine sogenannte Whitelist einbinden. Dies ist eine Liste der per Voreinstellung erlaubten Webseiten wie YouTube oder Vimeo, die über die Textverarbeitung aufgerufen werden dürfen. Weicht die aufzurufende URL im eingebundenen Code davon ab, würde Word den Besuch einfach automatisch blockieren. Doch es gibt noch mehr Tricks: Wer sein Vorhaben als Hacker verschleiern will, könnte die aufgerufene Webseite einfach unterhalb des sichtbaren Fensters platzieren. Erst wenn man das größere Fenster oder den kompletten Browser schließt, würde man die verstecke Webseite entdecken bzw. sie verlassen. Dieses Prinzip der verborgenen Werbefenster wird gerne von weniger seriösen Online-Vermarktern angewendet.

Amit Dori hat Microsoft über die Gefahren des neuen „Features“ informiert, doch der Hersteller stuft die Problematik als ungefährlich ein. Den gleichen Code kann man übrigens auch in Präsentationen für PowerPoint oder im Notizblock OneNote einfügen. Bei diesen Programmen hat Microsoft allerdings schon die erforderlichen Vorsichtsmaßnahmen ergriffen. Über den implementierten Code können dort nur Seiten besucht werden, die auf der Whitelist von Microsoft stehen und deren Besuch somit unproblematisch ist.

Wie kommen die Word Dokumente auf meinen PC?

Per Spam-Mail, was den Nachrichten einen vertrauenswürdigen Eindruck vermittelt. Oder, was bei anderer Schadsoftware auch häufig geschieht, die Hacker verbreiten sie per Usenet oder über P2P-Netzwerke im Internet. Dort sind kommerzielle Dokumente keine Seltenheit. Alternativ können Cyberkriminelle aktuellen Filmen, Programmen oder Spielen eigens dafür präparierte Word Dokumente hinzufügen, die schon vom Titel her das Interesse der Downloader wecken. Das wäre bei der Masse an Downloads besonders effektiv.

Was kann ich dagegen tun?

Der Einsatz von einem Proxy oder VPN ist sinnlos, weil damit lediglich die eigene IP-Adresse verschleiert wird. Für das JavaScript auf der Webseite bzw. den Drive-by-Trojaner ist es außerdem irrelevant, ob die Daten stets verschlüsselt übertragen werden. Die Antivirensoftware der meisten Anbieter dürfte bei derart präparierten Dokumenten nicht anschlagen. Trotzdem sollte man sie auf einem aktuellen Stand halten, um eine Infektion per Drive-by-Schadsoftware zu verhindern. Das Schürfen von Monero auf einer Webseite kann man per Werbe-Blocker oder andere Browser-Erweiterungen unterbinden. Beim Browserhersteller seiner Wahl bei den Erweiterungen einfach nach den Keywords „Anti Miner“ oder „Mining Blocker“ suchen. Alle populären Browser verfügen über eigene Plug-ins, die das Ausführen von CoinHive & Co. unterbinden.

Vielleicht wäre dies eine günstige Gelegenheit, über einen Wechsel nachzudenken. Kostenlose Office-Pakete wie Apache OpenOffice oder Libre Office erlauben nicht das Ausführen von speziellem Code in ihren Dokumenten. Bei Bedarf können die Dokumente mit beiden Office-Paketen auch im Word-Format oder als PDF-Dokument abgespeichert werden. Last, but not least bei empfangenen Dateien, die einem Freunde per E-Mail geschickt haben, vor dem Öffnen nachfragen, ob sie diese auch wirklich verschickt haben. Wer weiß schon, ob deren PCs nicht schon von einem anderen Trojaner übernommen wurde?

BTC-ECHO

Anzeige

Clever und sicher investieren mit Krypto-Arbitrage

Bis zu 45% auf deine BTC, ETH, USDT, EUR

Mit dem Wallet und der Arbitrage-Handelsplattform von Arbismart verdienen Tausende Anleger ein passives Einkommen (10,8-45% pro Jahr). Die vollautomatische Krypto-Arbitrage-Plattform bietet risikoarme, renditestarke Investitionen. ArbiSmart ist EU lizenziert und reguliert.

Mehr erfahren


Teilen

Die aktuellsten News kostenlos per E-Mail

Ich stimme zu, dass meine E-Mail-Adresse für den Versand des Newsletters gespeichert und verarbeitet wird. Weitere Hinweise

Kryptokompass #40

Der Finanzmarkt im Fegefeuer

Polkadot (DOT)

Der Brückenbauer für das Internet von Morgen

Peter Großkopf

Der Blockchain CTO oder „der Banker mit Mütze“

Bitcoin.de

Der Bitcoin-Marktplatz Made in Germany

BTC-ACADEMY

Kryptowährungen einfach handeln

Plus500 der führende CFD Anbieter

  • Direkt mobil handeln
  • Einzahlung per Kreditkarte oder PayPal
  • Bitcoin,Ether,IOTA,Ripple, uvm.
  • inkl. Demokonto

76,4% der Kleinanlegerkonten verlieren Geld beim CFD Handel mit diesem Anbieter