Sicherheitslücken sind nicht die größte Gefahr bei RTF-Dateien

Die meisten PC-Anwender sind davon überzeugt, dass Dateien im RTF-Format gegen lästige Makroviren sowie gegen alle Arten von Malware hundertprozentig abgesichert sind. Viele Antiviren-Hersteller empfehlen den Usern, auf die standardmäßigen MS Word (DOC) Dateien völlig zu verzichten. Tatsächlich können RTF-Dateien keine Makro-Programme (Makros) enthalten: Bei der Konvertierung (mit Standardmitteln) aus anderen Formaten werden Makros automatisch entfernt. Aber dieser Vorteil des RTF-Formats hat auch seine Kehrseite: Benutzer verlieren das Gefühl für die Bedeutung der Sicherheit und lassen bei der Arbeit mit solchen Dokumenten elementare Sicherheitsregeln außer Acht.

Was ist RTF?

Rich Text Format ist der verbreitetste Standard für die Darstellung von Bild- und Textdatenmengen. Er wird praktisch von allen Textverarbeitungs-Programmen unterstützt, die auf den verschiedensten Prozessoren und unter den gängigen Betriebssystemen arbeiten. Eine RTF-Datei, die auf einem PC-kompatiblen Computer unter Windows erstellt wurde, kann problemlos auf einem Apple Macintosh unter MacOS gelesen werden.

Die Struktur einer Standard-Datei im RTF-Format besteht aus mehreren Datenblöcken, die in spezielle Marker eingeschlossen sind. Diese signalisieren einem Editor-Programm Beginn und Ende der einzelnen Blöcke. Dabei können das Daten völlig verschiedener Typen sein, wie Texte, graphische Objekte, Tabellen und selbst ausführbare Dateien.

Beim Öffnen einer RTF-Datei sieht der Editor ihren Inhalt durch, führt automatisch alle dem Editor-Programm bekannten Blöcke aus und lässt Blöcke unbekannten Inhalts außer Acht. Darüber hinaus ermöglicht es die RTF-Struktur, in Dateien Blöcke mit neuen Typen einzufügen, die der User für die Erfüllung seiner spezifischen Aufgaben benötigt. Dabei beinträchtigen die neu eingefügten Blöcke nicht die Lauffähigkeit des Dokuments in anderen Anwendungen.

Schwachstellen

Bekanntlich haben viele Computer-Technologien kleine Bugs. Der RTF-Standard ist hier keine Ausnahme, denn auch er besitzt zwei Schwachstellen.

Erstens hat das verbreitetste Editor-Programm für RTF-Dateien, das Textverarbeitungsprogramm Microsoft Word, wie viele andere Anwendungen und Betriebssysteme Sicherheitslücken. Am 21. Mai 2001 hat die Firma Microsoft über ein neues "Sicherheitsloch" berichtet. Dieses ermöglicht es, Makroviren in RTF-Dateien unsichtbar für den Benutzer ausführen zu lassen.

Makroviren sind schädliche Makros, die ohne Wissen des Benutzers verschiedene Aktionen vornehmen können und sich so beispielsweise in Dateien einnisten. Makros können entweder in Dokumenten (Vorlagen) enthalten sein, sie können aber auch aus anderen Quellen mit Hilfe von Links heruntergeladen werden. In beiden Fällen muss MS Word automatisch eine Warnmeldung ausgeben, um die User vor Makros im jeweiligen Dokument zu warnen, denn jedes Makro kann sich als Virus erweisen.

Es hat sich aber herausgestellt, dass dieser Schutz für RTF-Dateien nicht funktionsfähig ist. Das können Virenschreiber ausnutzen, indem sie einen Link in ein Dokument einfügen. Dieser kann auf eine Webseite verweisen, die mit einem Makrovirus infizierte Vorlagen enthält. Liest MS Word eine RTF-Datei, so wird diese Vorlage automatisch und ohne jegliche Vorwarnung heruntergeladen und das Virus auf diese Weise im Hintergrund aufrufen. Zudem kann der Virusautor die auf der Webseite abgespeicherte Datei jederzeit modifizieren und ihre Funktionalität beliebig ausbauen.

Zum Glück hat Microsoft bereits einen Patch freigegeben. Damit soll das Sicherheitsloch in Word behoben werden. Bis jetzt wurde zwar kein einziges Virus gefunden, das diese Sicherheitslücke ausnutzt. Wir empfehlen aber allen PC-Anwendern, diesen Patch von der Microsoft-Website möglichst schnell auf ihre Computer einzuspielen. Die Geschichte lehrt nämlich, dass in solchen Fällen immer höchste Eile geboten ist. So wurde Anfang 1999 eine ähnliche Sicherheitslücke bei DOC-Dateien in MS Word entdeckt. Das erste Virus (ATU), geschrieben von dem bekannten australischen Hacker namens "1nternal", das diese Sicherheitslücke ausnutzte, um auf Rechner zu gelangen, wurde zwei Tage nach der Freigabe des Patches in Umlauf gebracht. Die bei vielen PC-Anwendern verbreitete Passivität und Vernachlässigung von Sicherheitsregeln führte zu einer großen Verbreitung dieses Virus.

Die zweite Sicherheitslücke bei RTF-Dateien besteht darin, dass RTF-Dateien ganz herkömmliche ausführbare Dateien enthalten können. Allerdings muss der User unbedingt auf einen Link im RTF-Dokument klicken, um sie zu aktivieren. In der letzten Zeit erfreut sich diese Installationsmethode steigender Beliebtheit unter Trojanischen Programmen. Anstatt der herkömmlichen EXE-Dateien, die vielen Benutzern gleich verdächtig wären, verschicken Virenschreiber RTF-Dokumente, die vielversprechende Texte anzeigen und den Benutzer auffordern, auf ein kleines Icon im Text-Body zu klicken. Diese Icons können harmlose Namen haben und müssen keine Endung enthalten. Auf solche Weise nutzen Virenschreiber die Tatsache aus, dass viele User nichts von den versteckten Gefahren wissen, die von RTF-Dateien ausgehen können.

Klickt der User auf das Icon, übergibt MS Word den in der RTF-Datei enthaltenen binären Code an das Betriebssystem, das dann automatisch den Dateityp erkennt, die Assoziations-Tabelle checkt und den Code an das entsprechende Programm zur Ausführung übergibt. Für VBS-Dateien ist dies der Windows Scripting Host, für eine EXE-Datei ist es der Kommandozeilen-Interpreter von Windows u.s.w. Als Folge kann der Benutzer den berüchtigten LoveLetter- oder Tschernobyl-Viren zum Opfer fallen, wenn sie vorher in ein RTF-Dokument eingefügt wurden.

RTF oder nicht RTF?

Der Autor dieses Artikels hat sich zum Ziel gesetzt, eventuelle Gefahren zu beschreiben, mit denen PC-Anwender beim Einsatz von Dokumenten im RFT-Format konfrontiert werden können. Es mussten auch Empfehlungen gegeben werden, wie diese Dateien am sichersten zu benutzen sind.

Wenn wir den Sicherheitsstandard von DOC- und RTF-Dateien im großen und ganzen vergleichen, so stellen wir fest, dass erstere viel mehr Gefahren in sich bergen. Sie können ausführbare Dateien beinhalten, die durch ein einmaliges Klicken auf das entsprechende Icon aktiviert werden. Darüber hinaus können sie aber auch die verbreiteten Makroviren enthalten. Soll eines dieser Formate eingesetzt werden, ist RTF vorzuziehen. Allerdings sollten in diesem Fall folgende Regeln eingehalten werden:

1. Patches für die verwendeten Textverarbeitungsprogramme rechtzeitig installieren, insbesondere, wenn diese RTF-Dokumente betreffen.
2. RTF-Dokumente unbedingt mit einem Antiviren-Programm prüfen. Das Antiviren-Programm sollte laufend aktualisiert werden.
3. Unter keinen Umständen die in einem RTF-Dokument enthaltenen direkten Links aktivieren.

Kaspersky Anti-Virus ist über den Kaspersky Labs Online Store oder über ein weltweites Netz von Kaspersky Anti-Virus Distributoren und Wiederverkäufern zu beziehen. Eine Liste der Händler findet sich unter http://www.kaspersky.com/de/buyoffline.asp.

Die kostenlose Trial-Version von Kaspersky Anti-Virus kann unter http://www.kaspersky.com/de/download.asp heruntergeladen werden.

Der kostenlose Newsletter von Kaspersky Labs kann unter http://www.kaspersky.com/de/subscribeNow.asp abonniert werden.

Weiterführende Links:

1. Microsoft Security Bulletin MS01-028: RTF document linked to template can run macros without warning
2. Kaspersky Viren-Enzyklopädie: Beschreibung des Virus Macro.Word97.ATU
3. Microsoft Security Advisor Program: Microsoft Security Bulletin (MS99-002): "Word 97 Template" Vulnerability