Microsoft waarschuwt voor RTF-boobytrap
Microsoft waarschuwt Office-gebruikers voor gerichte aanvallen, waarbij er een bekend Trojaans paard geïnstalleerd wordt. De aanvallen gebruiken geprepareerde RTF-bestanden die via een recent gepatcht beveiligingslek het systeem weten over te nemen. De patch in kwestie is MS10-087, die in november werd uitgebracht.
"Een paar dagen voor kerst ontvingen we een nieuw exemplaar dat op betrouwbare wijze dit lek misbruikt en in staat is om kwaadaardige shellcode uit te voeren die andere malware downloadt", zegt Rodel Finones van het Microsoft Malware Protection Center. De aanvullende malware is in dit geval een variant van de bekende Turkojan Trojan.
doe er ook wat aan.
of wacht!
is voor volgend jaar met de eerste patch dag.
"De patch in kwestie is MS10-087, die in november werd uitgebracht."
Dus wie moet hier wat aan doen? Inderdaad: de gebruiker van het systeem: patchen!
Het lek is in november gepatched met MS10-087, zoals je kunt lezen.
Dit lek is alleen nog een lek wanneer je om een of andere reden die patch niet hebt geinstalleerd.
Het blijft vervelend, dat berichten van niet-ingelogde gebruikers (die dus geplaatst worden als "Anoniem") pas met een vertraging geplaatst worden. In deze thread reageerde Anoniem 10.45 al op Spatieman, Anoniem 10.47 kon die reactie nog niet zien en reageerde ook, en ik zag beide reacties nog niet en reageerde om 10.53 nog eens met zo'n beetje hetzelfde. Driedubbelop dus, waardoor de laatste twee reacties onnodig leken of waren.
Maak als het effe kan een account aan en log in als je wilt posten, dat maakt het een stuk overzichtelijker.
Dankjewel.
Dit kun je volgens mij op twee manieren lezen:
1) Het gepatchte beveiligingslek is de oorzaak dat de aanvallen kunnen plaatsvinden (let op woordje 'via') en er moet dus een nieuwe patch komen.
2) Het lek is al gedicht met de genoemde patch.
Ik lees/las het toch als de eerste manier en spatieman misschien ook.
In zo'n geval is het altijd goed om te kijken wat er in het oorspronkelijke bericht stond, in dit geval het stuk van het Microsoft Malware Protection Center,
"Targeted attacks against recently addressed Microsoft Office vulnerability (CVE-2010-3333/MS10-087)"
http://blogs.technet.com/b/mmpc/archive/2010/12/29/targeted-attacks-against-recently-addressed-microsoft-office-vulnerability-cve-2010-3333-ms10-087.aspx
Daarin is onder andere te lezen:
A few days before Christmas, we received a new sample (sha1: cc47a73118c51b0d32fd88d48863afb1af7b2578) that reliably exploits this vulnerability and is able to execute malicious shellcode which downloads other malware.
Onderaan de tekst staat echter:
Maar het blijft onduidelijk.
Dus ik moet je gelijk geven, Custodius.
En dus ook aan Spatieman: ik kan me voorstellen dat je het zo leest.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
