Im Juni 2017 führte Microsoft unter Windows 10 den Controlled Folder Access (CFA) ein. Konkret können Nutzer damit gewisse Ordner schützen, sodass nur vorgegebene Programme darauf Zugriff haben. Der Sinn dahinter ist, Nutzer vor Erpressungstrojanern zu schützen, die beispielsweise Inhalte aus solchen Ordnern sperren und nur gegen Geld zurückgeben. Allerdings hat der CFA offenbar eine fatale Lücke – nämlich dürfen Microsofts Office-Programme wohl auf alle diese Ordner zugreifen.

Über OLE-Schnittstelle

Die Sicherheitslücke wurde von einem Forscher des Security-Unternehmens Security by Default entdeckt. Dieser nutzte Microsofts OLE-Schnittstelle, um mithilfe eines Python-Skripts auf CFA-geschützte Ordner zuzugreifen. Über Python selbst war dies zwar nicht möglich, da Winword.exe aber zugelassen wird, war der Zugriff mit der Microsoft-App möglich.

Erpressungstrojaner über Office-Apps

Problematisch ist dies, weil Erpressungstrojaner oft über E-Mails mit angehängten Office-Dokumenten versendet werden. Ein Beispiel hierfür ist der Verschlüsselungstrojaner "Goldeneye". Die Phishingmail, die gezielt an Personalverantwortliche adressiert war, wurde in Form einer Bewerbungsmail verbreitet, an welcher eine Excel-Datei angehängt wurde.

Öffnet man diese, wird der Nutzer– wie bei allen aus dem Internet heruntergeladene Office-Dateien – gebeten, die Bearbeitungsfunktion zu aktivieren. Daraufhin werden Dateien auf dem System verschlüsselt und können nur gegen Lösegeld wieder befreit werden. In einem solchen Falle wären die CFA-geschützte Ordner also nutzlos.

Reaktion

Microsoft selbst sieht die Sicherheitslücke nicht als solche an, da, wie der Forscher schreibt, sie den Windows Defender Exploit Guard nicht als Sicherheitsbarriere sehen würde. Allerdings würde das Unternehmen sich mit der Problematik befassen, indem die CFA-Ordner Funktionalität "verbessert" wird. (muz, 8.2.2018)