Hacker nutzen alte Lücken in Microsoft Office mittels FELIXROOT aktiv aus

Aktuell macht eine neue Malware die Runde, welche zwei ältere Lücken in Microsoft Office ausnutzt. Die Lücken werden dazu genutzt, um die Malware auf dem Rechner zu verbreiten und dann das FELIXROOT getaufte Programm auszuführen. Ziel des Virus‘ ist es, Daten an die C&C-Server der Entwickler zu schicken.

Hierbei werden die beiden Sicherheitslücken CVE-2017-0199 und CVE-2017-11882 ausgenutzt, welche allerdings in neueren Office-Versionen bereits von Microsoft ausgemerzt wurden. Die Malware kommt als Seminar.rtf und schleust eine Binärdatei in den %temp%-Ordner des Betriebssystems ein. Diese Datei erstellt eine LNK-Datei, welche auf die rundll32.exe im Ordner System32 zeigt sowie die Loader-Komponente von FELIXROOT. Diese Loader-Komponente wird dann vom System ausgeführt und in den Hauptspeicher geladen.

Dort schläft das Programm für 10 Minuten und stellt dann eine Verbindung zu den Servern der Angreifer her, an welchen die gestohlenen Daten dann geschickt werden. Diese enthalten beispielsweise auch Informationen zu dem Computernamen, Nutzernamen, Prozessor, Serien Nummer, Windows Version und zwei weiteren Values.

Sobald die Übertragung geglückt ist, schaltet sich das Programm ab und löscht jegliche Spuren auf dem betroffenen Rechner.

Microsoft hat bereits im letzten Jahr die Sicherheitslücken mit Patches geschlossen. Wer auf Nummer sicher gehen möchte, sollte also sein Office auf den aktuellsten Stand bringen.

via: mspoweruser.com