Wederom nieuw lek in Excel ontdekt
Voor de derde keer in korte tijd is er een lek in Excel ontdekt. Na het lek op 16 juni, het lek van gisteren is er nu een nieuwe kwetsbaarheid onthuld. Door het lek kan een kwaadaardig Flash bestand in een Excel spreadsheet verstopt worden. Dit flash object wordt automatisch uitgevoerd als een gebruiker het bestand opent.
Een aanvaller kan Excel dus als een "container" gebruiken om gevaarlijke flash bestanden te verspreiden. Het lek, waarvan ook een werkende proof-of-concept exploit beschikbaar is, is getest op Office 2003.
Microsoft werd op 3 mei door de onderzoeker die het lek vond op de hoogte gesteld en twee weken later had de softwaregigant al een tijdelijke "workaround". Op 27 mei vroeg de softwaregigant of de onderzoeker het lek nog niet bekend wilde maken, pas gisteren gaf Microsoft toestemming om dit te doen.
Volgens de softwaregigant zorgt de ActiveX control kill bit ervoor dat dit soort objecten in Excel bestanden worden uitgevoerd. Of de gebruiker de kill bit zelf moet instellen of dat deze al ingesteld staat is niet helemaal duidelijk. Meer informatie over kill bits is te vinden op deze pagina.
Met dank aan Erik van Straten voor het melden van dit nieuws
Zei men niet bij Vista: "Alle kwetsbaarheden die we nu
kennen zijn weg bij Vista", als de kwetsbaarheden zo snel
opduiken zal men eeuwig aan Vista moeten werken.
Zijn deze lekken ook in Office 2007 aanwezig?
dezelfde technieken zullen gebruiken tegen lekken. Dus...
Excel uitgevoerd kan worden. Deze Flash Killer vindt men in het
programma SpywareBlaster via Tools en Flash Killer.
Wanneer er via Firefox een flash object wordt geselecteerd en geopend in Excel 2003 SP2 dan wordt flash gewoon uitgevoerd. Wanneer daarop de Flash Killer voor Internet Explorer wordt aangevinkt, werkt de flash niet meer en kan het lek dus ook niet uitgebuit worden. Opvallend is wel dat er een fout kan optreden in Excel waardoor een document hersteld moet worden. Wie IE 6 SP1 heeft moet eens proberen of dit plakken van een Flash in Excel 2003 ook uitvoerbaar is als SpywareBlaster wordt gebruikt. Als dit lukt, dan is het lek kennelijk via een eenvoudige manier onwerkzaam te maken.
Er zou nog verder onderzocht moeten worden of dit ook in andere situaties en/of configuraties werkt (zonder selecteren en plakken in de browser) Iedereen wordt dan ook uitgenodigd dit eens op zijn of haar systeem te onderzoeken. Uitgeprobeerd moet worden of het alleen de Flash Kill aanvinken in SpywareBlaster voldoende is of niet.
Getest op: Windows XP home SP2, Microsoft Office 2003 SP2 en alle
patches voor Office en Windows. Gebruikte browser: Firefox 1.5.0.4. Er is
getest op Internet Explorer 7 Beta 2, maar daar kon geen flash worden
geopend en geplakt in Excel 2003.
Vista is Office niet inderdaad, maar ik denk wel dat ze
dezelfde technieken zullen gebruiken tegen lekken.
Dus...
en beide zijn nog niet echt uit, dus beetje voorbarig om
daar nu al over te zeuren.
> Of de gebruiker de kill bit zelf moet instellen of dat
> deze al ingesteld staat is niet helemaal duidelijk.
Dat zul je zelf moeten doen, en het heeft als bijwerking dat
Flash in webpages bekeken met MSIE niet meer werkt.
Een "kill bit" voor een ActiveX object (een sub-programma
dat binnen MSIE maar ook andere applicaties kan worden
uitgevoerd) zorgt ervoor dat dat ActiveX object wordt
geblokkeerd in Internet Explorer (tenminste, dat is de
bedoeling, maar ook dat kon Microsoft niet in 1x goed, zie
http://isc.sans.org/diary.php?storyid=1078).
Het heet een "kill bit" omdat het een bitje is in een rijtje
van 32 bits die als "vlaggen" (0 of 1, d.w.z. uit of aan)
worden gebruikt om verschillende zaken te beinvloeden. Het
11e bit van rechts in deze "ActiveX Compatibility Flags" is
het killbit (binair 10000000000 is hexadecimaal 400 is
decimaal 1024). Meerdere bits kunnen "op staan" zonder
elkaar te beinvloeden. Decimaal wordt dat onleesbaar en
binaire getallen zijn te lang, vandaar dat dit soort waardes
meestal in "hex" worden getoond.
Een voorbeeld van een gekillbit ActiveX object is
ADODB.Stream, waarin mij geen lek bekend is maar dat door
veel exploits is misbruikt om executable files op de schijf
van het slachtoffer te schrijven (en op de meeste systemen
niet nodig is). Na aandringen vanuit de security community
is dat ding in een van de vele MSIE patches "gekillbit". Zie
"How to disable the ADODB.Stream object from Internet
Explorer" in
http://support.microsoft.com/default.aspx?kbid=870669.
De bekendmaker van het Excel lek, Debasis Mohanty, vermeldde
(namens Microsoft) dat Office XP en 2003 deze voor MSIE
bedoelde killbits ook checken en honoreren (dat wist
ik nog niet). Dus door een killbit op het Flash object te
zetten zullen zowel IE als genoemde Office versies geen
embedded Flash meer uitvoeren.
Behalve met tools van derden kun je dit ook zelf met
regedit. Open bovenstaande ADODB.Stream webpage en kies voor
Nederlands indien nodig (N.B. om deze registry wijziging te
mogen maken zul je in moeten loggen als een beheerder, of
met "run as" regedit onder die hoedanigheid draaien). Ga in
de MS webpage naar "Handmatige procedure" en volg daar alle
aanwijzigingen. Alleen moet je:
{00000566-0000-0010-8000-00AA006D2EA4}
(voor ADODB.Stream, die staat waarschijnlijk al bovenaan de
lijst in regedit) vervangen door de "GUID" van Flash:
{D27CDB6E-AE6D-11cf-96B8-444553540000}
Alle overige handelingen zijn hetzelfde.
Ik zou daarna de computer opnieuw opstarten, dit om er zeker
van te zijn dat Office niet naar gecachte registry gegevens
zit te kijken.
Als je niet zonder Flash kunt: op Firefox hebben killbits
geen effect (omdat Firefox geen ActiveX ondersteunt en Flash
daarin op een andere manier wordt aangeroepen).
De vraag is alleen of het killbitten van Flash in dit geval
veel zin heeft. Het zou mij niet verbazen als dit "lek" ook
met andere ActiveX objecten is te exploiten, en als dat zo
is verwacht ik geen Excel patch op korte termijn. Ik vrees
dat we Office documenten voortaan gewoon als executable
files zullen moeten behandelen.
een malicious flash applet was.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
