Ende September 2022 machte eine Meldung von Cluster25 die Runde, nach der PowerPoint-Dateien aufgetaucht sind, die bösartige Programme heimlich aus dem Internet herunterladen und auf dem Rechner ausführen. Dieser Angriff funktioniert nur auf Windows-PCs.
Das Perfide daran:
Die manipulierten PowerPoint-Dateien enthalten weder Makros noch Hyperlinks.
Es reicht, während der Präsentation den Mauszeiger über ein Objekt auf der Folie zu bewegen, um ein Script zu starten, das Schadsoftware aus dem Internet nachlädt und ausführt.
„Computer Bild“ legte sich fest:
„Schwachstelle in Microsoft Office erlaubt Malware-Verteilung per Mouseover“
„Computer Bild“ am 27.09.2022
„golem.de“ schrieb:
„Mit präparierten Powerpoint-Dokumenten greifen Hacker Regierungen in Europa an.“
„golem.de“ am 29.09.2022
Und „heise online“ berichtete:
„IT-Sicherheitsforscher haben ein Powerpoint-Dokument entdeckt, das beim Anzeigen nach einer Mausbewegung Schadcode lädt und ausführt. Es stammt aus Russland.“
„heise online“ am 28.09.2022
Gemein, oder?
Doch ich kann Entwarnung geben:
- Die Möglichkeit eines Angriffs über die „Aktion bei Mouseover“ ist schon seit 2017 bekannt
- Deshalb ist seit geraumer Zeit in PowerPoint die Option deaktiviert, Programme über „Aktionen“ auszuführen
- Zusätzlich würde PowerPoint vor der Ausführung eines Programms eine Sicherheitswarnung ausgeben – der Aktion müsste ausdrücklich zugestimmt werden
Es ist also nicht so, dass PowerPoint-Anwenderinnen und -Anwender schutzlos sind.
Denn wer regelmäßig Updates installiert, wird von einem Angriff über die „Aktion bei Mouseover“ gar nichts mitbekommen: PowerPoint ignoriert die Aktion einfach. Es passiert nichts. Nicht einmal eine Warnmeldung erscheint.
So testen Sie, ob Sie gefährdet sind:
- Beginnen Sie eine neue, leere PowerPoint-Datei
- Zeichnen Sie auf der ersten Folie ein beliebiges Objekt, zum Beispiel ein Rechteck
- Klicken Sie das Objekt an und wählen Sie im Menü Einfügen > Links > Aktion
- Im Fenster „Aktionseinstellungen“ wählen Sie unter „Maus ruhen lassen auf“ (sic!) die Option „Programm ausführen:“
- Schreiben Sie in das Feld darunter „cmd“ und klicken Sie auf „OK“

Starten Sie die Präsentation (Taste „F5“) und bewegen Sie den Mauszeiger über das Objekt.
Sollte sich nun direkt das Fenster mit der Eingabeaufforderung („cmd“) öffnen, dann sind Sie gefährdet.
Sehr wahrscheinlich passiert aber überhaupt nichts und kein Fenster öffnet sich.
Wenn bei Ihnen dennoch ein Warnhinweis aufploppen sollte, dann melden Sie sich bitte bei mir. Ich schicke Ihnen dann eine Anleitung, wie Sie das Ausführen von Programmen bei den Mouseover-Aktionen unterbinden.
Ganz allgemein gilt natürlich:
Öffnen Sie niemals Dateien aus unbekannten oder nicht vertrauenswürdigen Quellen!
Über Peter Claus Lamprecht (Mr. Praesentare)

Moin, ich bin Peter Claus Lamprecht. Schön, Dich hier zu sehen!
Als Präsentationsberater weiß ich,
dass Du in Sales oder Marketing erfolgreich sein willst.
Dafür brauchst Du eine Präsentation, die Dir Kunden bringt.
Doch Du stehst eigentlich immer unter Zeitdruck, weshalb Du Dich überfordert fühlst.
Ich glaube, dass Du Präsentationserfolge verdient hast. Und ich weiß aus vielen Beratungen, wie schwer es ist, mit Präsentationen Kunden zu gewinnen. Du musst es nicht allein machen.
Deswegen habe ich aus mehr als 30 Jahren Erfahrung die PRAESENTARE-Methode entwickelt.
Mehr erfahren
Steht eine Präsentation an, bei der es wirklich um etwas geht?
Dann melde Dich bei mir: