Microsoft-Office: Makros sollen blockiert werden

Autor: Tom Wannenmacher

Lieber Leser, liebe Leserin, Mimikama ist dein Kompass in der Informationsflut. Aber um den Kurs zu halten, brauchen wir dich. Jeder Beitrag, ob groß oder klein, bringt uns näher an eine Welt der verlässlichen Informationen. Stell dir vor, du könntest einen Unterschied machen, und das kannst du! Unterstütze uns jetzt via PayPal, Banküberweisung, Steady oder Patreon. Deine Hilfe lässt uns weiterhin Fakten liefern, auf die du zählen kannst. Mach mit uns den ersten Schritt in eine vertrauenswürdigere Informationszukunft. ❤️ Dank dir kann es sein.

Endlich eine gute Nachricht: Microsoft kündigte eine Änderung der Sicherheitseinstellungen in Office an, bei der Makrocode aus dem Internet nun standardmäßig abgeschaltet werden soll.

Historisch gesehen ist dieser Schritt (längst) überfällig. Denn tatsächlich waren Makroviren schon ein Problem, bevor die Office-Anwendungen zu einer Suite von Tools mit einer gemeinsamen Makro-Codiersprache namens VBA (Visual Basic for Applications) zusammengeführt wurden. Doch was bedeutet dieser Schritt aus Redmond wirklich und was bringt es aus Sicht der Sicherheit für die Benutzer:innen?

Eine (über-)lange Historie

Bereits vor 1997 verfügte Microsoft Word beispielsweise über eine eigene Skriptsprache namens WordBasic (mit dem späteren VBA nicht kompatibel), die von Malware-Akteuren in großem Umfang für die Programmierung selbstladender Computerviren missbraucht wurde. Als dann später die standardisierte und leistungsfähigere Skriptsprache im Zusammenhang mit Office zum Einsatz kam, stürzten sich die Cyberkriminellen darauf wie der Teufel auf eine arme Seele.
Aus Sicht des Softwareanbieters waren die Skripte ein gut gemeinter Ansatz, denn wenn ein Office-Dokument ein eingebettetes Makro enthielt, dessen Name mit einer der Office-Menüoptionen übereinstimmte, wurde dieses Makro automatisch ausgelöst, sobald jemand auf den entsprechenden Menüpunkt klickte. Auf diese Weise konnten Unternehmen das Verhalten ihrer Office-Anwendungen leicht an ihre eigenen Arbeitsabläufe anpassen, was enorm praktisch war. Sicherheitstechnisch sind Makros aber ein nicht unerhebliches Problem. Etwa ereignisbasierte Makros, wie Auto_Open, wurden automatisch ausgelöst, sobald der Nutzer das Dokument nur “ansah“. Ein Segen für einen Malware-Autor, der eine Dokumentendatei mit einer Falle versehen wollte. Denn um bei jedem Aufruf des Dokuments ein eingebettetes Virus auszulösen, waren keine speziellen Hacking- oder Programmierkenntnisse notwendig.
Ein zusätzlicher Teil des Problems bestand auch darin, dass die große Mehrheit der Benutzer:innen die VBA eigentlich gar nicht brauchten, dennoch gezwungen war, es zu installieren und standardmäßig zu aktivieren.
Jahrelang hat die Cybersicherheitsbranche Microsoft gedrängt, die Standardeinstellungen von Office so zu ändern, dass bei der Installation die VBA-Funktionalität deaktiviert werden kann oder auf Wunsch sogar überhaupt nicht installiert wird.  Die Antwort aus Redmond war immer „Nein“.

Steter Tropfen

Letzten Endes hat sich auch Microsoft dem Thema Cybersicherheit angenommen und kontinuierlich Änderungen am VBA-Ökosystem vorgenommen. Diese haben dazu beigetragen, die „freie Bahn“ der Virenschreiber in den späten 1990er Jahren einzudämmen.
Beispiele sind etwa die einfachere und schnellere Erkennung, ob es sich bei einer Datei um ein reines Dokument handelt, wodurch schnell zwischen Dokumentobjekten, die überhaupt keine Makros enthalten und Vorlagendateien mit Makrocode, unterschieden werden konnte. Allerdings hat dies die Makro-Malware im Allgemeinen nicht verhindert. So nützlich die Funktion auch ist, dass Makros erst dann ausgeführt werden, wenn sie zugelassen werden, die Cyberkriminellen haben gelernt, auch diese Hürde zu umgehen.
Eine weitere Variante der Eindämmung sollen Einstellungen in den Gruppenrichtlinien für strengere Makrokontrollen in Unternehmensnetzwerken darstellen. Damit können Administratoren beispielsweise Makros in Office-Dateien, die von außerhalb des Netzwerks stammen, vollständig blockieren. Damit können Benutzer:innen die Ausführung von Makros in Dateien, die sie per E-Mail erhalten oder aus dem Internet heruntergeladen haben, nicht per Mausklick aktivieren. Diese hilfreiche Einstellung ist jedoch derzeit standardmäßig deaktiviert.

Bestenfalls ein Teilsieg über VBA-Malware

Die jüngste Ankündigung ist auf den ersten Blick daher erfreulich. Allerdings bedeutet das standardmäßige Blockieren von Makros nur einen kleinen Sicherheitsschritt für Office-Benutzer, denn VBA wird weiterhin in vollem Umfang unterstützt, und es ist weiterhin möglich, Dokumente per E-Mail oder im Browser zu speichern und sie dann lokal so zu öffnen, dass eingebettete Makros zulässig sind. Es ist also damit zu rechnen, dass Cyberkriminelle Wege finden, diese Hürde zu umgehen.
Diese Änderungen werden die älteren Office-Versionen erst in einigen Monaten, vielleicht sogar Jahren, erreichen. Selbst die aktuelle Version wird das standardmäßige Blockieren von Makros frühestens im Januar 2023 enthalten. Änderungsdaten für Office 2021 und früher wurden noch nicht einmal bekannt gegeben.
Mobile und Mac-Benutzer werden diese Änderung überhaupt nicht erhalten.
es sind nicht alle Office-Komponenten enthalten. Offenbar werden nur Access, Excel, PowerPoint, Visio und Word diese neue Einstellung erhalten. Obwohl diese Dateitypen den Großteil der Angriffe abdecken, wäre es besser, wenn diese Makro-Blockierfunktion für alle Microsoft-Produkte gelten würde.
Zum detaillierten Bericht über Makrocodes in Microsoft Office vom Sophos Security-Spezialisten Paul Ducklin geht es hier: https://nakedsecurity.sophos.com/2022/02/08/at-last-office-macros-from-the-internet-to-be-blocked-by-default/

Quelle: pressebox.de


Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.


2) Einzelne Beiträge (keine Faktenchecks) entstand durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)


Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Ihnen liegt es am Herzen, das Internet zu einem Ort der Wahrheit und Sicherheit zu machen? Fühlen Sie sich überwältigt von der Flut an Fehlinformationen? Mimikama steht für Vertrauen und Integrität im digitalen Raum. Gemeinsam können wir für ein transparentes und sicheres Netz sorgen. Schließen Sie sich uns an und unterstützen Sie Mimikama!. Werde auch Du ein jetzt ein Botschafter von Mimikama

Mimikama Workshops & Vorträge: Stark gegen Fake News!

Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.

Mehr von Mimikama