Windows und MS-Office behandeln Dateien und insbesondere Dokumente je nach Herkunft unterschiedlich. Denn eine vom Anwender selbst erstellte Excel-Tabelle soll deren Makros natürlich ausführen. Bei einer via Mail zugestellten Excel-Datei wäre das hingegen ein großes Sicherheitsrisiko, denn die Makros könnten den Rechner auch mit Schadsoftware infizieren.
Deshalb öffnete MS-Office Dokumente aus dem Internet bislang in einer geschützten Ansicht, in der Makros zunächst nicht ausgeführt werden. Stattdessen präsentierte Microsoft einen gelben Balken mit einer Warnung. Der Anwender kann die Makros dennoch ausführen, indem er auf "Bearbeitung aktivieren" zum Beenden der geschützten Ansicht und anschließend auf "Inhalt aktivieren" klickt. Mit gut gemachten Phishing-Mails gelang es Kriminellen immer wieder, Anwender dazu zu bewegen; auch Heise hat sich auf diesem Weg
Bislang kann der Anwender das Ausführen von Makros mit einem Mausklick gestatten und damit seinen Rechner infizieren.
Damit soll jetzt Schluss sein. Aktuelle Office-Versionen sperren Makros in solchen Dateien aus dem Internet komplett und zeigen eine rote Warnmeldung; der Anwender kann die Makros nicht mehr ausführen. Das will Microsoft stufenweise für alle Office-Versionen für Windows ausrollen. Aktuell haben wir das neue Verhalten bereits in Version 2206 (Aktueller Kanal) vorgefunden.
Makros werden blockiert; ein Klick auf "Weitere Informationen" öffnet nur noch eine Info-Seite.
Das alles funktioniert jedoch nur, wenn alle involvierten Programme mitspielen und die Verwaltungsinformationen richtig setzen: der Browser, das E-Mail-Programm und auch die eingesetzten Tools für ZIP- und andere Archive. Die Windows-eigenen Programme machen das; Chrome, Firefox und Thunderbird setzen das MOTW ebenfalls um. Auch Archiv-Tools wie WinRAR prozessieren das MOTW. Auf Github gibt es eine Übersicht zum
Sie können das Verhalten auch ganz einfach testen, indem Sie sich
Der Haken bei "Zulassen" entfernt das MOTW und damit auch die Makro-Sperre.
Das ganze System ist recht wackelig. Bereits beim Kopieren einer Datei auf einen USB-Stick mit FAT32 geht das MOTW verloren, denn Alternate Data Streams sind ein NTFS-Feature. Natürlich kann man es auch händisch entfernen. Dazu genügt es, im Explorer bei den Eigenschaften der Datei den Haken "Zulassen" zu setzen.
Downloads aus dem eigenen, lokalen Netz sollten das MOTW übrigens nicht erhalten, wenn Windows sie der Zone "Lokales Intranet" zuordnet. Um etwa einen firmeneigenen Filesharing-Server als vertrauenswürdig zu markieren, nimmt man ihn explizit in die Liste der "Trusted Sites" auf. Microsoft beschreibt die dazu notwendigen Handgriffe in einem Support-Artikel zu
Zunächst zeigte sich der 7zip-Autor wenig begeistert.
Doch nach etwas “positiver Verstärkung” hat er in der letzten Version 22.00 zumindest optionale Unterstützung des MOTW eingebaut, wie die Liste der Neuerungen zeigt:
Man kann jetzt die Weitergabe des MOTW im 7zip-Menü aktivieren.
Admins können das auch über einen Registry-Key unter
HKEY_CURRENT_USER\SOFTWARE\7-Zip\Options
einstellen. Der Wert des DWORD-Eintrags WriteZoneIdExtract steuert das 7zip-Verhalten; 0 ignoriert das MOTW; 1 vererbt es an alle und 2 nur an Office-Dateien. Zu den unterstützten Office-Formate gehört jedoch
Ergänzend sollten Admins gefährliche Datei-Anhänge in Mails auf dem Mail-Gateway filtern und Anwender über die Gefahren von Makros aufklären. Wer statt MS-Office auf LibreOffice umsteigen kann, bringt sich elegant aus der Schusslinie. Die VBA-Makros aus Microsofts Office funktionieren dort nämlich nicht.
Quelle: heise
Deshalb öffnete MS-Office Dokumente aus dem Internet bislang in einer geschützten Ansicht, in der Makros zunächst nicht ausgeführt werden. Stattdessen präsentierte Microsoft einen gelben Balken mit einer Warnung. Der Anwender kann die Makros dennoch ausführen, indem er auf "Bearbeitung aktivieren" zum Beenden der geschützten Ansicht und anschließend auf "Inhalt aktivieren" klickt. Mit gut gemachten Phishing-Mails gelang es Kriminellen immer wieder, Anwender dazu zu bewegen; auch Heise hat sich auf diesem Weg
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Bislang kann der Anwender das Ausführen von Makros mit einem Mausklick gestatten und damit seinen Rechner infizieren.
Damit soll jetzt Schluss sein. Aktuelle Office-Versionen sperren Makros in solchen Dateien aus dem Internet komplett und zeigen eine rote Warnmeldung; der Anwender kann die Makros nicht mehr ausführen. Das will Microsoft stufenweise für alle Office-Versionen für Windows ausrollen. Aktuell haben wir das neue Verhalten bereits in Version 2206 (Aktueller Kanal) vorgefunden.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Makros werden blockiert; ein Klick auf "Weitere Informationen" öffnet nur noch eine Info-Seite.
Das "Mark of the Web"
Damit das mit dem Warnen und Blockieren funktioniert, führt Windows Buch, woher eine Datei stammt. Es speichert diese Information zur Herkunft – das sogenannte Mark of the Web (MOTW) – in einem sogenannten Alternate Data Stream namens Zone.Identifier. Wenn der Anwender etwa ein ZIP-Archiv aus dem Internet auspackt, vererbt sich das MOTW auch an die extrahierten Dateien weiter. Übrigens betrifft das spezielle Verhalten je nach Herkunft nicht nur Office-Dateien. Auch vor dem Start von ausführbaren Dateien aus dem Internet präsentiert Windows eine Warnung.Das alles funktioniert jedoch nur, wenn alle involvierten Programme mitspielen und die Verwaltungsinformationen richtig setzen: der Browser, das E-Mail-Programm und auch die eingesetzten Tools für ZIP- und andere Archive. Die Windows-eigenen Programme machen das; Chrome, Firefox und Thunderbird setzen das MOTW ebenfalls um. Auch Archiv-Tools wie WinRAR prozessieren das MOTW. Auf Github gibt es eine Übersicht zum
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Sie können das Verhalten auch ganz einfach testen, indem Sie sich
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
eine harmlose Doc-Datei mit einem Makro zuschicken lassen. Optional bekommen Sie dort auch ein ZIP-Archiv mit je einer normalen und einer Doc-Datei mit einem Testmakro. Hinweis: Der Versand der Mails kann einige Minuten dauern; wenn nach 10 Minuten nichts angekommen ist, wurde die Mail eventuell unterwegs von einem Virenfilter als "potenziell böse" aussortiert.Lücken im System
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Der Haken bei "Zulassen" entfernt das MOTW und damit auch die Makro-Sperre.
Das ganze System ist recht wackelig. Bereits beim Kopieren einer Datei auf einen USB-Stick mit FAT32 geht das MOTW verloren, denn Alternate Data Streams sind ein NTFS-Feature. Natürlich kann man es auch händisch entfernen. Dazu genügt es, im Explorer bei den Eigenschaften der Datei den Haken "Zulassen" zu setzen.
Downloads aus dem eigenen, lokalen Netz sollten das MOTW übrigens nicht erhalten, wenn Windows sie der Zone "Lokales Intranet" zuordnet. Um etwa einen firmeneigenen Filesharing-Server als vertrauenswürdig zu markieren, nimmt man ihn explizit in die Liste der "Trusted Sites" auf. Microsoft beschreibt die dazu notwendigen Handgriffe in einem Support-Artikel zu
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.7zip nachjustieren
Eine große Lücke war bisher das auch in Firmen beliebte Open-Source-Programm 7zip. Denn das plattformübergreifende Tool kümmerte sich nicht um solche Windows-Interna und ignorierte das Mark of the Web komplett. Wer eine Datei aus einer Mail mit 7zip auspackt, kann diese direkt wie eine lokale öffnen. Enthaltene Makros werden direkt ausgeführt. Der Autor des Programms zeigte bis vor Kurzem auchDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
, das zu ändern.Zunächst zeigte sich der 7zip-Autor wenig begeistert.
Doch nach etwas “positiver Verstärkung” hat er in der letzten Version 22.00 zumindest optionale Unterstützung des MOTW eingebaut, wie die Liste der Neuerungen zeigt:
- New -snz switch to propagate Zone.Identifier stream to extracted files (Windows).
- New option "Propagate Zone.Id stream" in Tools/Options/7-Zip menu.
Man kann jetzt die Weitergabe des MOTW im 7zip-Menü aktivieren.
Admins können das auch über einen Registry-Key unter
HKEY_CURRENT_USER\SOFTWARE\7-Zip\Options
einstellen. Der Wert des DWORD-Eintrags WriteZoneIdExtract steuert das 7zip-Verhalten; 0 ignoriert das MOTW; 1 vererbt es an alle und 2 nur an Office-Dateien. Zu den unterstützten Office-Formate gehört jedoch
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Empfehlungen
Generell ist das Mark of the Web bei der Gefahrenabwehr bei Weitem nicht so zuverlässig, wie man sich das wünschen würde. Das ist jedoch kein Grund, ganz darauf zu verzichten. Nutzer von 7zip sollten die Option deshalb einschalten; Administratoren in Firmennetzen, die 7zip einsetzen, empfiehlt heise Security den Registry-Wert auf 1 zu setzen, am besten über eine Gruppenrichtlinie netzwerkweit. Das verringert die Gefahr, dass Anwender ihr System versehentlich mit einer der allgegenwärtigen Trojaner-Mails à la Emotet infizieren. Negative Nebenwirkungen dieser 7zip-Einstellung sind uns nicht bekannt.Ergänzend sollten Admins gefährliche Datei-Anhänge in Mails auf dem Mail-Gateway filtern und Anwender über die Gefahren von Makros aufklären. Wer statt MS-Office auf LibreOffice umsteigen kann, bringt sich elegant aus der Schusslinie. Die VBA-Makros aus Microsofts Office funktionieren dort nämlich nicht.
Quelle: heise
