Pressemitteilung von Herr Bernd Hoeck

Content Disarming schützt vor DDE-Sicherheitslücke in Microsoft Office

---

---

Paderborn, 19. Oktober 2017 - Net at Work GmbH, der Hersteller der modularen Secure-Mail-Gateway-Lösung NoSpamProxy aus Paderborn, weist auf eine aktuell neue Bedrohungslage durch Mail-Anhänge hin.

Nachdem Sicherheitsforscher in der vergangenen Woche eine schwerwiegende Sicherheitslücke in Microsoft Office entdeckt haben, wird diese bereits in konkreten E-Mail-Angriffen ausgenutzt. Durch speziell präparierte Dateien im Microsoft-Excel- oder Microsoft-Word-Format können Angreifer nach der Öffnung der Dateien seitens des Benutzers beliebigen Code auf dem System des Benutzers ausführen. Dadurch erhalten die Hacker Zugriff auf den Windows-Rechner.


Aktuell wird Zunahme derartiger Attacken registriert


Diese Lücke wird zunehmend in Mail-Attacken mit entsprechenden Anhängen ausgenutzt. Das renommierte SANS Institute hat bereits eine deutliche Zunahme an Attacken mit alten Malware-Bekannten wie Hancitor registriert. So wurde am Montag ein massiver Anstieg derartiger Angriffe beobachtet.

Die Sicherheitslücke tritt unter Verwendung von Dynamic Data Exchange (DDE) auf. Dieses Protokoll dient dem Austausch von Applikationen und wird unter anderem von Excel verwendet, um externe Informationen einzubinden. Nach einem erfolgreichen Angriff sind alle Daten auf den betroffenen Systemen gefährdet. Diese Sicherheitslücke wird durch die von Microsoft am 10.10.2017 veröffentlichten Patches noch nicht geschlossen. Daher müssen die eingesetzten E-Mail-Security-Lösungen verlässliche Sicherheit bieten.


Nur flexibles Content Disarming schafft Sicherheit


Mithilfe eines intelligenten Anhangsmanagements lassen sich derartige Angriffe durch sogenanntes Content Disarming sicher abwehren. Dabei wandelt das Secure-Mail-Gateway Anhänge im Word- und Excel-Format regelbasiert und automatisiert in unkritische PDF-Dateien um. So gelangt potenziell vorhandener Schadcode nicht in das Firmennetzwerk. Der Empfänger erhält dadurch einen garantiert ungefährlichen Anhang. Im PDF-Dokument findet sich eine Vorschaltseite, auf der individuelle Hinweise zum Grund der Konvertierung aufgeführt sind und - sofern gewünscht - auch ein Link zum Originaldokument, das sich in einer speziellen Quarantäne befindet.


Aktuelle Version 12 von NoSpamProxy steuert Content Disarming über die Reputation des Senders


In der aktuellen Version 12 von NoSpamProxy ist genau das möglich. NoSpamProxy kombiniert Content Disarming mit dem einzigartigen Level-of-Trust-Konzept und der Senderreputation. Im Falle einer akuten Bedrohungslage wie der aktuellen DDE-Lücke, können NoSpamProxy-Kunden einfach per Regel einstellen, dass Attachments von neuen oder unbekannten Sendern grundsätzlich über das Content Disarming laufen, während die Mails von Sendern mit höherer Reputation ungehindert passieren können. Erst diese feingliedrige Steuerbarkeit macht den Schutzmechanismus praxistauglich, da die normale Zusammenarbeit der Nutzer nicht gestört wird. Zudem senkt sie die Hemmschwelle für die IT, Content Disarming als wirksames Instrument einzusetzen, da die Beeinträchtigung der Nutzer auf ein Minimum reduziert wird.


"Content Disarming ist eine wirksame Maßnahme zum Schutz vor Malware-Anhängen in Mails. Erst wenn man dieses Instrument sehr zielgenau einsetzen kann, wird es praxistauglich. Dies ist ein weiterer Beleg dafür, dass ohne eine leistungsstarke und feingliedrige Bewertung der Senderreputation kaum noch ein praktikabler Schutz vor Malware und Spam gelingen kann", sagt Stefan Cink, E-Mail-Sicherheitsexperte bei Net at Work.


Hintergrundinformationen zu dieser Sicherheitslücke erhalten Sie hier: https://isc.sans.edu/forums/diary/Hancitor +malspam+uses+DDE+attack/22936/

Weitere Informationen über die integrierte Mail-Security-Suite NoSpamProxy erhalten Sie hier: https://www.nospamproxy.de


Zusammenfassung

Eine neue Sicherheitslücke durch Microsoft-Office-Dokumente in Mails ermöglicht Angreifern Zugriff auf Systeme. Bislang wurde kein Patch von Microsoft dafür angekündigt, deshalb kann nur ein flexibles Content Disarming sicheren Schutz bieten. Firmen- & Pressekontakt