Ein Leck in der Textverarbeitungssoftware Word und Wordpad hat über Monate hinweg die Sicherheit von Nutzern gefährdet – trotz Kenntnis von Microsoft. Fehlerhaftes Verhalten der Software beim Verarbeiten von Dateien anderer Formate ermöglichte es Angreifern im schlimmsten Fall, die Kontrolle über den Rechner zu erlangen.

Der Fehler, beschrieben im Security-Bulletin CVE-2017-0199, wurde am 11. April am monatlichen Patchday geschlossen. Microsoft wusste laut Reuters jedoch schon seit dem Vorjahr über seine Existenz Bescheid. Betroffen waren mehrere Office-Versionen: Office 2007, 2010, 2013 und 2016 sowie die Windows-Versionen Vista, 7, 8.1 und Windows Server 2008 R2.

Microsoft seit Oktober informiert

Im Oktober 2016 war der Redmonder Konzern von einem Whitehat-Hacker informiert worden, dem erfolgreich die Ausnutzung der Lücke geglückt war. Der Konzern verzichtete allerdings auf eine temporäre Behebung und entschloss sich, direkt an einer endgültigen Lösung zu arbeiten.

Spätestens im Jänner sollen allerdings Cyberkriminelle Wind von dem Fehler bekommen haben. Unter Ausnutzung des Bugs sollen Politiker und Angehörige des Militärs in der Ukraine und Russland bespitzelt worden sein. Breitere Bekanntheit erreichte das Leck im März, als erstmals eine häufig genutzte Malware – der für Angriffe auf Finanzinistitute genutzte Schädling Latentbot – ihn auszunutzen begann.

McAfee machte Angriffsweg öffentlich

Anfang April registrierte schließlich der Sicherheitssoftware-Hersteller McAfee die Angriffe und stellte einen Blogeintrag online. Allerdings hatte man Microsoft entgegen üblicher Praxis nicht im Vorfeld über die Veröffentlichung informiert. McAfee-Manager Vincent Weafer verwies im Nachhinein auf Kommunikationsprobleme. Allerdings hatten Forscher eines anderen Unternehmens, Fireeye, schon im März verdächtige Aktivitäten bemerkt und Microsoft in Kenntnis gesetzt.

Weil der Blogeintrag ausreichend Details für einen Nachbau des Angriffs enthielt, tauchte in weiterer Folge auf Untergrundportalen ein Programm auf, welches die Ausnutzung der Lücke erleichterte. Damit war es möglich, Dokumente zu präparieren, um sich Zugriff auf die Bankdaten von Nutzern zu verschaffen, die sie in Word oder Wordpad öffneten. Ab dem 9. April soll es zu Millionen Angriffsversuchen durch den Massenversand solcher Dateien gekommen.

Angreifern gelang es unter anderem, Malware bei Mitarbeiter der israelischen Ben-Gurion-Universität einzuschleusen und über ihre E-Mail-Konten auch infizierte Dokumente an ihre Kontakte zu schicken. Wie viele Opfer der Malware es insgesamt gibt und welchen monetären Schaden sie verursacht hat, ist unklar.