Excel 4.0-Makros, 1992 von Microsoft Excel als einfache Aufzeichnungs- und Wiedergabefunktion eingeführt, waren einst harmlose Helfer zur Automatisierung wiederkehrender Aufgaben. Doch was einst als effiziente Lösung galt, hat sich leider zu einer versteckten Einfallspforte für Cyberkriminelle entwickelt. Ähnlich wie ihr Nachfolger, das Visual Basic for Applications (VBA)-Makro, werden XLM 4.0-Makros zunehmend missbraucht, um Malware zu verbreiten. Die über 30 Jahre alte Funktion ermöglicht es Bedrohungsakteuren, den XML-Code leicht zu verschleiern und so bösartige Makros vor Entdeckung zu verbergen, wodurch immer wieder neue Angriffstechniken entstehen.
Diese Entwicklung stellt eine ernsthafte Herausforderung für die Excel Makro Sicherheit dar. Da Excel 4.0-Makros eine Kernkomponente der Excel-Funktionalität sind und in vielen Geschäftsprozessen weiterhin aktiv genutzt werden, ist es unwahrscheinlich, dass sie flächendeckend deaktiviert oder gar veraltet sind. Dies macht sie zu einem idealen Angriffsvektor für Malware-Autoren, die bösartige Nutzdaten über Makrocodes in Excel-Dokumente einschleusen und diese häufig als E-Mail-Anhänge versenden, wie es bereits bei den ersten Vorfällen der Fall war. Umfassende Sicherheitsstrategien sind daher unerlässlich, insbesondere für Unternehmen, die noch mit älteren oder auch modernen Microsoft Office-Versionen arbeiten und möglicherweise auch nach kostenloser Software wie Word 2010 kostenlos suchen, die ähnliche Risiken bergen könnte.
Der erste dokumentierte Excel 4.0 Makro-Angriff
Seit der ersten Welle von Makro 4.0-Angriffen Mitte Februar 2020 haben zahlreiche Cyberkriminelle diese Technik adaptiert. Die Methode beinhaltet das Versenden einer infizierten Excel-Datei, in deren Formeln ein bösartiger Befehl versteckt ist, typischerweise als E-Mail-Anhang. Die Angreifer setzen dabei auf Social-Engineering-Taktiken, um Empfänger zum Öffnen der Datei zu verleiten. Nach dem Öffnen wird das Opfer aufgefordert, auf die Schaltfläche “Bearbeitung aktivieren” zu klicken, wodurch das versteckte Makro aktiviert wird und die bösartige Nutzlast freigibt.
Dieser initiale Erfolg führte zu einer Eskalation der Angriffe. Zwischen Mai und Juli 2020 gab es deutliche Spitzenwerte in der Nutzung dieser Umgehungstechnik, was die Notwendigkeit robuster Sicherheitsmaßnahmen unterstreicht. Auch die Nutzung von kostenlosen Alternativen wie LibreOffice kostenlos download erfordert Achtsamkeit, da Makro-Sicherheitslücken in verschiedenen Office-Suiten auftreten können.
“Sehr versteckte” Makros: Eine raffinierte Tarnung
Makros können durch geschickte Verschleierungsstrategien unbemerkt in eine Excel-Datei integriert und verborgen werden. Eine gängige Methode ist die Einstellung eines Tabellenblatts auf “Sehr versteckt”. Dies bedeutet, dass das Blatt nicht über die normale Excel-Benutzeroberfläche zugänglich ist und nur mit speziellen externen Tools aufgedeckt werden kann. Die in solchen versteckten Excel-Tabellen eingebetteten Makros können dann über eine Webabfrage ausgelöst werden oder beim Ausführen einer Formel Malware herunterladen.
Bedrohungsakteure nutzen dieses Schlupfloch aus, um bösartige Nutzdaten über Datei-Uploads oder E-Mail-Anhänge zu übermitteln und Systemschwachstellen auszunutzen. Diese Taktik, oft gepaart mit angstbasierten Social-Engineering-Methoden, ermöglicht es Angreifern, Fernzugriff auf kompromittierte Geräte zu erlangen und Befehle auszuführen. Ein prominentes Beispiel war eine COVID-19-Phishing-Kampagne im Mai 2020, vor der Microsoft öffentlich warnen musste. Hierbei wurden E-Mails mit dem Betreff “WHO COVID-19 SITUATION REPORT” versandt, die angeblich vom John Hopkins Center stammten. Die angehängten Excel-Dateien enthielten ein verstecktes bösartiges Makro, das den NetSupport Manager RAT (Remote Access Trojan) herunterlud und ausführte – ein Verwaltungstool, das für Fernzugriff missbraucht wurde. Ähnliche Vorsicht ist auch bei anderen kostenlosen Programmen wie einem Musescore download kostenlos geboten, um die Installation unerwünschter Software zu vermeiden.
Effektiver Schutz vor bösartigen Dateiuploads und Makro-Malware
Angesichts dieser anhaltenden Bedrohungen sind proaktive Schutzmaßnahmen unerlässlich, um die Excel Makro Sicherheit zu gewährleisten.
Umstellung auf VBA für verbesserte Sicherheit
Microsoft hat Benutzer explizit zur Umstellung auf Visual Basic for Applications (VBA) aufgefordert. Das Antimalware Scan Interface (AMSI) in Verbindung mit VBA bietet eine tiefgehende Untersuchung des Makroverhaltens und ermöglicht es dem System, zur Laufzeit nach verdächtigen Makros und anderen bösartigen Aktivitäten zu suchen. Diese verbesserte Transparenz ist ein entscheidender Schritt, um Malware auf Basis von Makros frühzeitig zu erkennen und zu blockieren.
Integration von AMSI in Microsoft Office
Microsoft hat zudem die Integration von AMSI in Office 365 erweitert, um das Laufzeit-Scanning von Excel 4.0-Makros einzuschließen. Dies ermöglicht es, XLM-basierte Malware gezielt zu erkennen und zu blockieren und bietet somit eine zusätzliche Sicherheitsebene gegen diese oft schwer fassbaren Bedrohungen.
Tiefenreinigung mit Deep CDR und Multiscanning
Technologien zur Verhinderung von Bedrohungen, wie Deep CDR (Content Disarm and Reconstruction), gehen davon aus, dass alle Dateien bösartig sein könnten. Sie bereinigen jede Datei und erstellen sie neu, sodass sie nur sichere Inhalte enthalten, wenn sie den Benutzer erreichen. Deep CDR ist besonders effektiv bei der Verhinderung von Ausweichtechniken in Excel-Dateien und fortgeschrittenen Maldoc-Techniken wie VBA-Stomping.
Darüber hinaus kann die Integration von Multiscanning, das gleichzeitiges Scannen mit über 30 Anti-Malware-Engines (unter Verwendung von KI/ML, Signaturen, Heuristik usw.) ermöglicht, Erkennungsraten von nahezu 100 % erreichen. Dies ist ein erheblicher Vorteil gegenüber einzelnen Antiviren-Engines, die im Durchschnitt nur 40-80 % der Viren erkennen können. Bei Downloads wie Musik download kostenlos mp3 oder älteren Office-Suiten wie Microsoft Works download kostenlos ist äußerste Vorsicht geboten, und der Einsatz solcher Technologien kann einen entscheidenden Unterschied machen.
Fazit
Die Gefahr durch Excel 4.0-Makros ist real und entwickelt sich ständig weiter. Ihre anhaltende Relevanz in Geschäftsprozessen macht sie zu einem attraktiven Ziel für Cyberkriminelle, die raffinierte Social-Engineering-Taktiken und “sehr versteckte” Makros nutzen, um Malware zu verbreiten. Um die Excel Makro Sicherheit effektiv zu gewährleisten, ist ein mehrschichtiger Ansatz unerlässlich. Dazu gehören die Umstellung auf sicherere VBA-Makros in Kombination mit AMSI-Integration, sowie der Einsatz fortschrittlicher Technologien wie Deep CDR und Multiscanning, die einen umfassenden Schutz vor Zero-Day-Angriffen und anderen hochentwickelten Bedrohungen bieten. Bleiben Sie wachsam und rüsten Sie Ihre Systeme mit den besten Sicherheitslösungen aus, um Ihre Daten und Netzwerke vor diesen allgegenwärtigen Risiken zu schützen.
Referenzen
- James Haughom, Stefano Ortolani. “Entwicklung von Excel 4.0 Makro-Waffen”. Lastline. 2. Juni 2020. https://www.lastline.com/labsb….
- Baibhav Singh. “Evolution of Excel 4.0 Macro Weaponization – Part 2.” VMware. 14. Oktober 2020. https://blogs.vmware.com/netwo….
- Phil Muncaster. “Microsoft warnt vor “massiver” #COVID19 RAT.” Infosecurity Magazine. 21. Mai 2020. https://www.infosecurity-magaz….
- “XLM + AMSI: New runtime defense against Excel 4.0 macro malware”. Microsoft. 3. März 2021. XLM + AMSI: Neuer Laufzeitschutz gegen Excel 4.0-Makro-Malware | Microsoft Security Blog.