Microsoft hat die Verbreitung von Makroviren durch eine kürzlich vorgenommene Änderung der Standard-Makrosicherheits-Richtlinien erschwert.
Mit Malware infizierte Microsoft Office-Makros gibt es schon seit fast drei Jahrzehnten. Bei diesen Angriffen wird Code in ein scheinbar harmloses Word- oder Excel-Makro eingefügt, das dann von einem ahnungslosen Benutzer oder einer ahnungslosen Benutzerin heruntergeladen wird, indem er oder sie auf einen Phishing-Köder oder einfach auf einen E-Mail-Anhang klickt. Hier gelangt ihr zu einer detaillierten Erklärung, wie Makroviren funktionieren und warum sie so schwer zu stoppen sind.
Die gute Nachricht? Möglicherweise haben wir im Kampf gegen diese Malware endlich die Kurve gekriegt. Microsoft hat die Verbreitung von Makroviren durch eine kürzlich vorgenommene Änderung der Standard-Makrosicherheitsrichtlinien etwas erschwert. Die Änderung gilt nur für die Windows-basierten Office-Anwendungen Access, Excel, PowerPoint, Visio und Word. Sie wird jetzt auf alle Office-Versionen ausgeweitet.
Bevor wir darauf eingehen, was sich geändert hat, solltet ihr wissen, dass makroähnliche Malware immer noch ein Problem darstellt. Vor etwa einem Monat wurde eine neue Zero-Day-Schwachstelle namens Follina gemeldet. Sie nutzt die Funktion "Remote Template" von Word aus und kann PowerShell-Befehle aus der Ferne ausführen. Der Name leitet sich von der Vorwahl einer italienischen Stadt ab, eine Nummer, die Forscher*innen im Code der Malware fanden.
Er funktioniert, wenn Benutzer*innen das Dokument herunterladen und ältere Office-Versionen verwenden. Die Forscher*innen haben Beweise dafür gefunden, dass Follina seit Oktober vergangenen Jahres im Einsatz ist. Obwohl es sich technisch gesehen nicht um ein Makro handelt, ist es eine clevere Methode, mit der sich Hacker*innen in ein Netzwerk einschleusen können.
Was hat Microsoft getan, um sich vor bösartigen Makros zu schützen?
Die Änderungen an dieser Einstellung sind leicht zu erkennen. Wenn ihr früher auf ein Makro geklickt habt, solltet ihr eine Warnung wie diese bekommen haben:
Aber sobald ihr die neuen Inhalte angewendet habt, seht ihr Folgendes:
Für die Standardeinstellung ist das super, aber was ist, wenn ihr noch echte Makros verwenden müsst?
Ein IT-Manager, mit dem ich gesprochen habe, sagte mir, dass er Makros nicht standardmäßig deaktivieren kann, weil sie von zu vielen Personen in seinem Unternehmen für wichtige Zwecke verwendet werden, z.B. für die Ausführung des CRM-Systems. Dies ist eine sehr typische Situation und einer der Gründe, warum Microsoft so lange gebraucht hat, um das Problem der Makro-Malware anzugehen - weil Makros an sich sehr nützlich sind und daher ein wesentlicher Bestandteil der Produktivität vieler Mitarbeiter*innen sind.
Microsoft stellt zwei Gruppenrichtlinien-Einstellungen zur Verfügung, um Makros aus dem Internet freizugeben: die Richtlinie Makros in Office-Dateien aus dem Internet nicht ausführen und die Richtlinie VBA-Makro-Benachrichtigungseinstellungen. Die Einrichtung ist allerdings mit viel Aufwand verbunden, da die Richtlinien für jede einzelne Office-Anwendung konfiguriert werden müssen.
Sind wir also völlig aus dem Schneider?
Nicht ganz, wie Follina gezeigt hat. Ihr solltet immer noch auf der Hut sein vor diesen Fällen von Makro-Malware. Als Faustregel gilt: Klickt auf nichts, was ihr online geschickt bekommt, ohne dass auf eurem Computer zumindest ein gewisser Schutz installiert ist.
Interessiert an mehr News von uns? Folgt uns auf Facebook und auf Twitter!