VBA Stomping

VBA Stomping – Angriffe über vorkompilierten Code

Kennen Sie den Enkeltrick? Schon einmal davon gehört?

Wussten Sie, dass diese Vorgehensweise auch bei VBA Makros funktioniert?

Ein Makro gibt sich als etwas völlig Harmloses aus und in Wahrheit versteckt sich dahinter etwas komplett anderes. Und wie man sich sicher denken kann, dient das dann nicht dazu, Sie früher in den Feierabend gehen zu lassen.


Wie funktionieren diese Angriffe?

Ein Angreifer erstellt ein VBA Makro über MS Office mit schädlichem Code. Er kompiliert das Makro über Office. Office speichert den vorkompilierten Code im VBA-Projekt ab.

Im zweiten Schritt kann man den Makro Code so manipulieren, dass der Klartext des Makros harmlos erscheint. Dieses muss ohne MS Office passieren, damit der vorkompilierte Code erhalten bleibt.

Wird das so manipulierte Dokument geöffnet und der Code ausgeführt, dann wird nur der vorkompilierte Schadcode und nicht der Code im Klartext ausgeführt!

In den Standardeinstellungen von Office wird der User zwar gefragt, ob er das Makro aktivieren will, aber auch wenn er den VBA Editor öffnet und sich den Code durchliest, kann er den vorkompilierten Code nicht einsehen!

Wie kann man sich vor solchen Angriffen schützen?

Der sicherste Schutz – abgesehen vom kompletten Abschalten von VBA-Makros – sind digital signierte Makros.

Wird ein Makro mit einer digitalen Signatur versehen, dann wird der vorkompilierte Code nicht beachtet. Office prüft den Klartext und vergleicht ihn mit der Signatur. Danach wird der Code vorkompiliert und ausgeführt.

Noch besser wäre es den vorkompilierten Code zu entfernen damit diese Angriffe komplett unterbunden werden.

Unsere Tools unterstützen Sie, um auch gegen diese Angriffe gewappnet zu sein.

Das automatisierte Anhängen/Entfernen von digitalen Signaturen wurde nun auch um das Löschen des vorkompilierten Codes erweitert.


Nutzen Sie unsere Lösung für Ihre gesteigerte Sicherheit.

Als Spezialisten mit jahrzehntelanger Erfahrung, beschäftigen wir uns Tag für Tag mit der Steigerung von IT-Sicherheit. Unsere Lösung OVSC (Office VBA Security & Compliance) schafft Klarheit und Transparenz in Ihrer Schatten-IT. Wir unterstützen Sie gerne dabei, noch ein wenig sicherer zu werden. Den Kontakt zu uns finden Sie HIER