image

Tool kraakt Office encryptie in minuten

zaterdag 17 april 2010, 16:50 door Redactie, 18 reacties

Een fout in de encryptie van Office zorgt ervoor dat aanvallers versleutelde documenten binnen minuten kunnen kraken. Het is al sinds 2005 bekend dat een implementatiefout de beveiliging van Office ondermijnt, maar tot nu toe was er geen tool die hier misbruik van maakte. Dat verklaart mogelijk waarom Microsoft nooit het probleem heeft opgelost voor oudere Office versies. Tijdens de Black Hat Europe conferentie onthulde de Franse beveiligingsexpert Eric Filiol een tool die documenten binnen minuten kan ontsleutelen.

Geheim
Al sinds 1994 is de Fransman hiermee bezig, maar mag pas nu zijn werk openbaar maken. "Ik werkte destijds voor het Franse leger. Alles wat ik deed was geheim. Nu mag ik erover praten", zo liet hij tegen het Duitse Heise weten. Het probleem met de zwakke RC4 encryptie speelt Alleen bij Office 2003 en oudere versies. Sinds Office 2007 gebruikt Microsoft de veel sterkere AES encryptie. Toch zijn nog veel oude Office versies bij zowel thuisgebruikers als bedrijven in gebruik.

De software van Filiol hoeft alleen naar een reserve kopie, die Office automatisch in versleutelde vorm genereert wanneer een bestand is geopend, te vergelijken met het origineel. Of Microsoft het probleem oplost is onbekend. De softwaregigant was niet van tevoren door de Fransman gewaarschuwd, die niet van plan is zijn tool beschikbaar voor het publiek te maken. Dat geldt niet voor zijn presentatie, die wel online staat.

Reacties (18)
17-04-2010, 17:42 door Rolfwil
Maar er bestaan toch al langer tools om Office documenten te decrypten? Heb ooit es voor m'n werkgever een Excel bestand password vrij gemaakt met een password 'recovery' tool voor Excel, omdat hij vergeten was welk wachtwoord hij er achter had gezet. Daarom gebruik ik zelf doorgaans encryptie van (een deel van ) het filesysteem, met behulp van Truecrypt, waar ik al m'n prive docs inzet.
17-04-2010, 18:31 door Anoniem
Die zogenaamde decrypters zijn niets anders dan tootljes die wat HEX waarden in het document aanpassen zodat de setting 'document beveiligd' en het bijbehorende wachtwoord gewist worden. Dat is heel wat anders dan het daadwerkelijke wachtwoord achterhalen ;-)

-Jeroen
17-04-2010, 19:04 door Anoniem
Alleen bij Office 2003 en oudere versies :)
Oud nieuws is dit. Het cracken kan al jaren lang heel snel met behulp van een rainbow table.
Maar wel leuk dat de Fransman Office 2003 kan hacken... en dat bekend maken anno 2010 :D
17-04-2010, 19:10 door RickD
Door Ralphwil: Maar er bestaan toch al langer tools om Office documenten te decrypten? Heb ooit es voor m'n werkgever een Excel bestand password vrij gemaakt met een password 'recovery' tool voor Excel, omdat hij vergeten was welk wachtwoord hij er achter had gezet. Daarom gebruik ik zelf doorgaans encryptie van (een deel van ) het filesysteem, met behulp van Truecrypt, waar ik al m'n prive docs inzet.
Hoe heet die tool dan? Ik ken alleen maar bruteforce-tools voor Office bestanden.
17-04-2010, 19:15 door Rolfwil
@RickD: Excel key heet het, zie www.lostpassword.com
17-04-2010, 19:53 door D0rus
Het is toch al lang bekent dat de wachtwoord functie in office 2003 en eerder niet veel voorstelt? Ik heb jaren terug al eens een read only excel sheet van mijzelf gered met zo'n password recovery progje. Volgensmij was dat gewoon een brute force aanval, want bij lange wachtwoorden werd hij langzaam.

Ook in exel 2007 kun je dat wachtwoord trouwens makkelijk omzeilen, al is het read-only, je kunt altijd nog alles lezen, en kopiëren. Ik dacht dat de formules die ik in verborgen cellen had staan op een wachtwoord beveiligd blad veilig waren, maar na het importeren van dit excel document in google docs, was alles gewoon weer leesbaar.
17-04-2010, 21:00 door Eerde
Het gaat toch hopelijk om M$-Office en niet openOffice ?
17-04-2010, 21:49 door [Account Verwijderd]
[Verwijderd]
17-04-2010, 23:36 door Anoniem
Door Eerde: Het gaat toch hopelijk om M$-Office en niet openOffice ?
Open Office is ook erg makkelijk te kraken. Maar als een wachtwoordbeveiliging op bestandsniveau iemand moet tegenhouden, forget it ~~~~
18-04-2010, 00:17 door Erwtensoep
Je kan je office bestandjes gewoon beter in een Truecrypt container stoppen o.i.d.
18-04-2010, 08:55 door [Account Verwijderd]
[Verwijderd]
18-04-2010, 13:02 door Eerde
Oh ja, das waar die versies lopen altijd jaren achter anders dan bij openOffice die een rolling upgrade kent.
"Did I mention that openOffice is free, as in beer, as well ? :)
19-04-2010, 00:39 door Anoniem
Door Eerde: Oh ja, das waar die versies lopen altijd jaren achter anders dan bij openOffice die een rolling upgrade kent.
"Did I mention that openOffice is free, as in beer, as well ? :)

Open Office is zeer kwetsbaar en het barst van de lekken, welke niet of erg laat worden gepatched
http://secunia.com/advisories/product/302/?task=advisories
19-04-2010, 09:35 door Sokolum
Hier, met dit voorbeeld is het niet nodig om ingebakken encryptie te vertrouwen van wie dan ook (voor serieuze toepassingen deed je dit toch al niet, tocht?). Met dit voorbeeld kan je op een eenvoudige manier je documenten encrypten / decrypten met AES256 (of andere encryptie methoden)

ENCRYPT:
openssl enc -e -aes256 -in mijn-geheim.xls -out mijn-geheim-versleuteld.xls -k mijn-password


DECRYPT:
openssl enc -d -aes256 -in mijn-geheim-versleuteld.xls -out mijn-geheim.xls -k mijn-password


Veel plezier.

edit:typo
19-04-2010, 13:40 door cornouws
Open Office is zeer kwetsbaar en het barst van de lekken, welke niet of erg laat worden gepatched
http://secunia.com/advisories/product/302/?task=advisories
Seneca over OpenOffice.org 1.1.x, medio 2004 ofzo?
Actueel is: Alle lekken die bekend worden in OpenOffice.org worden met de eerst volgende update gepatcht.
Zie http://security.openoffice.org/
Er zijn geen tooltjes om wachtwoorden van documenten in OpenOffice.org te kraken. Alleen brute-force kan.
19-04-2010, 19:51 door Eerde
Tsja je moet openOffice natuurlijk wel op een OS draaien dat veiliger is.
20-04-2010, 07:20 door Anoniem
Door Eerde: Tsja je moet openOffice natuurlijk wel op een OS draaien dat veiliger is.
leugenachtige hypocriet
27-04-2010, 01:59 door RickD
Door Ralphwil: @RickD: Excel key heet het, zie www.lostpassword.com

Maar als ik deze start, gaat hij gewoon Bruteforce'en...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.