Wenn man ein von Angreifern präpariertes RTF-Dokument einfach nur öffnet, reicht das schon, um Windows mit einem Trojaner zu infizieren. Eingang findet der Schädling letztlich über eine Sicherheitslücke (CVE-2017-11882) in Microsoft Office.

Schon im November 2017 hat Microsoft einen Sicherheitspatch für diese Schwachstelle herausgegeben. Deshalb sollten alle Office-Benutzer sicherstellen, dass ihr Patchlevel auch wirklich aktuell ist. In der laufenden Angriffsserie haben es die unbekannten Angreifer laut Microsoft besonders auf europäische Ziele abgesehen.

Wer ein solches präpariertes Dokument öffnet, fängt sich letztlich einen Backdoor-Trojaner ein und Angreifer könnten danach unter anderem Schadcode ausführen, warnt Microsoft deutlich auf Twitter. Inzwischen sind die Server zum Steuern der Kampagne zwar offline, aber es könnten jederzeit neue Angriffe mit anderen C&C-Servern gestartet werden. Wer das Sicherheitsupdate aus 2017 schon eingespielt hat, dürfte nicht mehr angreifbar sein.

Der Exploit ist hochgefährlich

Der eigentliche Fehler steckt in der Equation-Editor-Komponente von Office. Wegen unzureichenden Überprüfungen von Objekten im Speicher muss das Opfer nur ein RTF-Dokument, das den Exploit an Bord hat, öffnen, und schon ist sein Computer infiziert. Diverse Skripte holen dann den Schädling auf den Rechner. Im Januar 2018 hat Microsoft diese Komponente schon aus Office entfernt.

Für einen erfolgreichen Angriff braucht der Angreifer daher keinerlei Mithilfe des Opfers. Anders bei präparierten normalen Word-Dateien: Da müssen die Opfer die Dokumente nicht nur öffnen, sondern meist auch noch die Makros darin aktivieren, damit dann ein Trojaner heruntergeladen werden kann.