Wir haben als Mailserver-Betreiber immer wieder das Problem, dass wir einerseits ein möglichst sicheres System haben wollen – andererseits die Benutzer nicht unnötig einschränken wollen.

Was uns allerdings schon seit Jahren ein Dorn im Auge ist: Macros in Office Dokumenten

Irgendwie scheinen gewisse User sich einen Sport daraus zu machen, in Excel grundsätlich nur noch mit Macros zu arbeiten. Dass das nicht die beste Idee ist (Platformübergreifende Kompatibilität ist selten gegeben, Versions-Abhängigkeit, Sicherheitsaspekte) ist wohl zwar den meisten bekannt – allerdings hat sich meistens der User durchgesetzt. Wie sonst ist zu erklären, dass noch immer einige User “MS Word” als Nachrichteneditor verwenden (oder wiederhaben wollen??).

Inzwischen ist die Situation allerdings etwas über die reine “Viren”-Problematik hinausgewachsen.

Dürfen wir vorstellen: Locky

Locky ist (wie einige Viren vor ihm auch schon) eine Ransomware. Sprich: Sobald der Virus gestartet wurde (eben durch ein Macro-Script) verschlüsselt er alle Daten der Festplatte(n). Da gehören Netzwerklaufwerke ganz klar auch dazu. Und Usb-Sticks. Und Backup-Platten. Und so weiter…

Im Klartext: Jede Datei, die sich der Virus irgendwie schnappen kann ist danach unbrauchbar.

Nichts neues, werden manche denken. Vom Prinzip her stimmt das sogar.

Aber: Diesmal ist es so, dass gegen den Trojaner bis jetzt kein “Gegenmittel” gefunden werden konnte.

Zu Deutsch: Wer seine Daten nach einer erfolgten Infektion wieder haben möchte hat genau eine Möglichkeit: Lösegeld bezahlen.

Und nein, das Macro-Script ist nicht selbst der Virus. Aber das Macro-Script lädt die Virendatei aus dem Internet nach – und startet sie.

Dadurch, dass es extrem einfach ist die Signatur von Macros zu verändern ist die Erkennbarkeit prinzipbedingt sehr tief. Das Gleiche gilt für die nachgeladene Software.

Unsere Befürchtung ist auch, dass sobald ein “Gegenmittel” zum Entschlüsseln der Daten gefunden wurde eine neue Variante “auf den Markt” kommt – mit minimal angepassten Verschlüsselungsalgorithmen – und das Spiel fängt von Vorne an.

Diejenigen welche sich zurücklehnen und mit dem “aber ich habe OS X”-Argument kommen… Macros sind zwar auf OS X eingschränkt – aber leider besteht durchaus auch hier die Möglichkeit, einen ähnlichen Trojaner zu bauen.

Sogar Microsoft warnt (wenn auch indirekt) (Link) vor Macros in Word-Dokumenten für Mac.

Im Prinzip gibt es genau die folgenden Lösungen:

  • Finger weg von Macros
  • Die Office-Suite wechseln (z.B. hin zu OpenOffice, LibreOffice)

Letzteres ist allerdings auch kein Garant zum absoluten Glück…


 

Weitere Infos:

Link 1: http://www.heise.de/newsticker/meldung/Krypto-Trojaner-Locky-wuetet-in-Deutschland-Ueber-5000-Infektionen-pro-Stunde-3111774.html

Link 2: http://www.heise.de/security/artikel/Analysiert-Das-Comeback-der-Makro-Malware-2573181.html


 

Rant: Warum Microsoft die Macros noch immer nicht aus ihren Dokumenten verbannt hat ist uns an dieser Stelle ein Rätsel. Irgendwer in der Buchhaltung von einer ultrawichtigen Firma muss wohl die gesamte Abrechnung mit Macros “programmiert” haben.

Warum Systemadministratoren Ihren Benutzern das nicht via Group-Policies / Weisungen verbieten ist das zweite Rätsel.