Als Reaktion auf einen wachsenden Trend bei Angriffen , bei denen schädliche Objekte mithilfe des Object Packager-Steuerelements in Office-Dokumente eingebettet werden, hat Office eine Änderung am Standardaktivierungsmodell für Packager-Objekte in Office-Anwendungen vorgenommen.
Vor diesem Update können ausführbare Dateien oder Skripts (e.g. EXE, JS, VBS), die mit dem Object Packager-Steuerelement eingebettet sind, aktiviert werden, wenn ein Benutzer auf das eingebettete Objekt im Dokument doppelklicken. Für Objekte, die von Windows als hohes Risiko eingestuft werden, wird benutzern eine Sicherheitswarnung wie unten dargestellt angezeigt.
Wenn der Benutzer auf "Öffnen" klickt, wird das Objekt mit den Berechtigungen des angemeldeten Benutzers ausgeführt. Angreifer missbrauchen diesen Vektor für Social Engineer-Benutzer, um schädliche Programme zu aktivieren, die in Office-Dokumenten eingebettet sind, indem sie sie dazu überreden, durch diese Warnungsaufforderung zu klicken.
Um Benutzer zu schützen, blockieren Microsoft 365 Anwendungen standardmäßig die Aktivierung von Objekten, die als hohes Risiko angesehen werden. Die Liste der blockierten Erweiterungen entspricht der Liste, die von Outlook zum Blockieren von Anlagen verwendet wird. Die Liste der Erweiterungen finden Sie unter Blockierte Anlagen in Outlook.
Wie sieht dieses Verhalten aus?
Office-Apps lassen die Aktivierung von Objekten nicht mehr zu, die mit Erweiterungen verknüpft sind, die als mit hohem Risiko eingestuft werden. Wenn ein Benutzer versucht, ein solches Objekt zu aktivieren, wird die folgende Benachrichtigung angezeigt:
Office hat den Zugriff auf das folgende eingebettete Objekt blockiert, um Sie zu schützen.
Kann ich die blockierten Erweiterungen anpassen?
Ja, Office bietet zwei Gruppenrichtlinie Optionen, mit denen ein Administrator anpassen kann, welche Erweiterungen blockiert werden. Sie finden sie jeweils unter Office/Security Settings/.
Zulassen von Dateierweiterungen für die OLE-Einbettung
Mit dieser Richtlinieneinstellung können Sie angeben, welche Dateierweiterungen Office nicht blockiert, wenn sie als OLE-Paket in eine Office-Datei mithilfe des Object Packager-Steuerelements eingebettet werden. Wenn Sie diese Richtlinieneinstellung aktivieren, geben Sie die zuzulassenden Dateierweiterungen durch Semikolons getrennt ein.
Beispiel: exe; vbs;js
Warnung: Böswillige Skripts und ausführbare Dateien können als OLE-Paket eingebettet werden und schaden, wenn der Benutzer darauf klickt. Wenn Erweiterungen zu dieser Zulassungsliste hinzugefügt werden, können sie Office weniger sicher machen.
Blockieren zusätzlicher Dateierweiterungen für die OLE-Einbettung
Mit dieser Richtlinieneinstellung können Sie zusätzliche Dateierweiterungen angeben, die Von Office blockiert werden, wenn sie als OLE-Paket in eine Office-Datei mithilfe des Object Packager-Steuerelements eingebettet werden.
Wenn Sie diese Richtlinieneinstellung aktivieren, geben Sie die zusätzlichen zu blockierenden Dateierweiterungen durch Semikolons getrennt ein.
Beispiel: py; Rb
Hinweis: Wenn Sie sowohl unter "Dateierweiterungen für OLE-Einbettung zulassen" als auch "Dateierweiterungen für OLE-Einbettung blockieren" eine Dateierweiterung hinzufügen, wird die Erweiterung blockiert.
Gewusst wie dieses Verhalten ändern?
Um dieses Verhalten für eine bestimmte Anwendung wie Word oder Excel zu ändern, können Sie den folgenden Registrierungsschlüssel erstellen: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\<Office-Anwendung>\Security\PackagerPrompt
Achtung: Durch die unsachgemäße Änderung der Registrierung mit dem Registrierungs-Editor oder einer anderen Methode können schwerwiegende Probleme verursacht werden. Diese Probleme können eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Das Ändern der Registrierung erfolgt auf eigenes Risiko.
So erstellen Sie den Registrierungsschlüssel:
-
Beenden Sie alle Office-Anwendungen, die Möglicherweise geöffnet sind.
-
Starten Sie die Registrierungs-Editor, indem Sie auf Start klicken (oder die Windows-Taste auf der Tastatur drücken), dann Regedit eingeben und die EINGABETASTE drücken.
-
Suchen Sie den folgenden Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\<Office application>\Security\
Die Office-Anwendung sollte eine der folgenden Sein:
-
Word
-
Excel
-
PowerPoint
-
Visio
-
Publisher
-
-
Klicken Sie mit der rechten Maustaste auf den Schlüssel, und fügen Sie einen neuen REG_DWORD Hexadezimalwert namens PackagerPrompt mit einem der folgenden Werte hinzu:
-
0 – Keine Eingabeaufforderung von Office, wenn der Benutzer klickt, objekt wird ausgeführt
-
1 – Eingabeaufforderung von Office, wenn der Benutzer klickt, Objekt wird ausgeführt
-
2 – Keine Eingabeaufforderung, Objekt wird nicht ausgeführt
-
Haben Sie eine Frage zu Office, die wir nicht beantwortet haben?
Besuchen Sie die Microsoft Answers Community , um Fragen und Antworten zu sehen, die von anderen personen gepostet wurden, oder um Antworten auf Ihre eigenen Fragen zu erhalten.
