|    |  DE

28. August 2020

Nie wieder Schadcode durch E-Mail-Anhänge?

Gehören Phishingangriffe mit schädlichen Office-Anhängen, wie z. B. manipulierten Excel-Dateien, nun bald der Vergangenheit an? 

Durch das Testen von Dateien in sogenannten Sandboxes war es bisher schon möglich, Dateien auszuführen und zu schauen, ob diese schädliche Auswirkungen haben. Durch den Ausbau des aus Windows 10 bekannten Schutzmechanismus Application Guard ist es nun auch in Office 365 möglich, verdächtige Dokumente und Dateien isoliert zu öffnen. Ähnlich wie in anderen Sandbox-Systemen wird die Datei dann in einem von der restlichen Systemumgebung abgeschotteten Bereich ausgeführt und es können potentiell schädliche Auswirkungen im Vakuum betrachtet werden.

Application Guard


Derzeit ist die Funktion allerdings erst in der Beta-Version verfügbar und muss installiert werden. Dazu existiert eine Anleitung von Microsoft, welche Sie unter folgendem Link abrufen können:

https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/install-app-guard?view=o365-worldwide

Schutz aktivieren

Sind alle in der Anleitung beschriebenen Voraussetzungen erfüllt, können Administrator:innen die Sicherheitsfunktion in mehreren Schritten aktivieren. Nach dem Download und der Installation des Paketes „Application Guard“ für Office 365 wird der Eintrag „KB4559004 Issue 001 Preview“ im Gruppenrichtlinien-Manager im Bereich der administrativen Vorlagen sichtbar und muss aktiviert werden. Danach kann die Funktion „Microsoft Defender Application Guard“ im Bereich der Windows-Features eingeschaltet werden. Alle weiteren Infos zur Einrichtung werden von Microsoft in folgendem Artikel beschrieben:

https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/install-app-guard?view=o365-worldwide

Wenn man nun z. B. ein Word-Dokument öffnet, erscheint oben rechts der Bereich „File opened in Application Guard“.

Application Guard am Beispiel Word

Abbildung 1 - Application Guard am Beispiel Word

In der Taskbar wird dies sichtbar, da die Datei mit einem Schutzschild gekennzeichnet ist.
 

Sandbox-Systeme:

Eine Sandbox ist ein vom Rest der Systemumgebung abgeschotteter Bereich, in welchem Software ausgeführt werden kann. Damit können Funktionsweisen von Software getestet und Malware kann in einem geschützten Bereich analysiert werden. 

Vorteile sind:

  • Bessere Kontrolle
  • Es können nicht unbemerkt Ressourcen auf das Grundsystem nachgeladen oder verändert werden
  • Gleichzeitig in verschiedenen Umgebungen ausgeführte Programme nehmen aufeinander keinen Einfluss
  • Datenzugriff auf das Hostsystem ist ausgeschlossen 

Automatisierte Malware-Analysen mithilfe von Sandbox-Systemen sind allerdings nichts Neues und werden immer noch viel zu selten eingesetzt. Eine einfache Möglichkeit ist die Einrichtung des Open Source Analysesystems „Cuckoo“¹. Mithilfe solcher Systeme können unter anderem:

  • Verdächtige Files (Executables, Office-Dokumente, E-Mails, PDF-Dateien)
  • Netzwerk-Traffic
  • Memory

analysiert werden. Somit kann eine Datei vor der Ausführung auf dem eigenen PC oder Notebook vorher in einer isolierten Umgebung ausgeführt werden. Wenn dies in Zukunft direkt in der OfficeSuite möglich ist, wäre dies eine riesen Arbeitserleichterung und würde vielen Angreifenden zunächst ein wenig Schießpulver stehlen. In der Vergangenheit berichteten wir bereits über beispielsweise Verschlüsselungstrojaner. Diese Trojaner verbreiteten sich sehr häufig über schädliche Anhänge. Dies wäre dann in Zukunft nicht mehr so einfach möglich. 

¹Cuckoo Sandbox: leading open source automated malware analysis system, [online] https://cuckoosandbox.org/ [25.08.2020].

Autor: Hannes Hartung