image

Overheid waarschuwt voor terugkeer macrovirussen

vrijdag 31 januari 2014, 09:41 door Redactie, 5 reacties

Overheidsinstantie NCSC heeft een waarschuwing afgegeven voor de terugkeer van macrovirussen, die macro's in Office-documenten gebruiken om zich te verspreiden en systemen te infecteren. Een macro bestaat uit een reeks geautomatiseerde opdrachten die de gebruiker kan aanroepen.

Ook kunnen macro’s automatisch worden uitgevoerd, bijvoorbeeld bij het openen of sluiten van een bepaald document. Macro's kunnen echter ook kwaadaardige code bevatten. Omdat Office toestaat dat systeembronnen worden aangeroepen is het gebruik van een macro een krachtige manier om het systeem van de gebruiker te infecteren.

Macrovirussen

Macrovirussen bestaan sinds het midden van de jaren ’90 en een bekend voorbeeld is het Melissa-virus, dat zich via een Word-document wist te verspreiden. Microsoft wijzigde hierop de standaardinstellingen van Office, zodat macro's standaard niet meer worden toegestaan. Veel thuisgebruikers zijn daardoor niet meer kwetsbaar voor malware in macro’s en grootschalige uitbraken van macrovirussen bleven dan ook uit.

Volgens het Nationaal Cyber Security Center (NCSC) vonden de afgelopen jaren enkele incidenten plaats waarbij macro’s werden ingezet bij gerichte aanvallen op individuele organisaties. Sommige organisaties maken namelijk wel gebruik van macro's en hebben de instellingen daarvoor aangepast, waardoor er een terugkeer van macrovirussen gaande is, zo laat het NCSC in een nieuwe factsheet weten.

Maatregelen

Om besmetting met malware via macro’s te voorkomen geeft het NCSC verschillende tips. Zo moet het legitiem gebruik van macro's in de organisatie worden geïnventariseerd. Moeten vertrouwde bestandslocaties of digitale handtekeningen voor documenten met legitieme macro’s worden gebruikt en is het verstandig om de server voor inkomende e-mail te configureren om e-mails met macro's in bijlagen te stoppen.

Het NCSC stelt dat er genoeg voorbeelden van gerichte aanvallen op grote organisaties zijn, maar dat er in veel gevallen weinig details over de aanval worden vrijgegeven. Daardoor is het moeilijk om een goed beeld te krijgen van de omvang van dit specifieke probleem en de grootte van de daadwerkelijke dreiging.

"Toch is er een duidelijke reden om de macro-instellingen goed te zetten: wanneer een aanvaller op zoek is naar de zwakste schakel, dan zal die in de macro-kwetsbaarheid snel zijn gevonden."

Reacties (5)
31-01-2014, 10:06 door Anoniem
`NCSC bespreekt hier de interne problematiek van de overheid. Ambtenaren zijn niet de meest intelligente ccomputer gebruikers en eisen gebruiksrecht op alle mogelijkheden. Als er bijlagen in de mail zijn dan MOET dat geopend worden. Meldingen over veiligheid m.b.t. macro's moeten genegeerd worden. Ik spreek uit ervaring.
Ik heb al eerder geopperd dat de iedere ambtenaar die een computer voor zijn/haar werk gebruikt verplicht lessen moet volgen in veilig omgaan met computers en vooral data.
31-01-2014, 11:52 door Anoniem
O nice! De hebben we waarschijnlijk ook snel weer een wildgroei aan varianten door document converters.
31-01-2014, 14:25 door Anoniem
Factsheet, 'Train gebruikers om geen ongevraagd toegestuurde bestanden te openen, ook al lijken ze van een bekende afzender te komen.'

Verreweg de meeste mails en post krijg je ongevraagd toegestuurd.
Nooit meer rekeningen en facturen openen, minder tijd besteden aan de mailbox wanneer alleen nog mails en post ontvangen op expliciete aanvraag, win win advies.
31-01-2014, 14:59 door regenpijp
Of er hier sprake is van een trend weet ik niet, maar het gebruik van macro-malware is in ieder geval wel doeltreffend en goedkoop.
Het gebruik van een document met een kwaadaardige macro heeft een aantal voordelen:
- Een kwaadwillend persoon hoeft geen 100k te besteden aan een zero-day.
- Als een gebruiker door de beveiligingswaarschuwingen heen klikt is besmetting bijna gegarandeerd; Er hoeft tenslotte geen DEP, ASLR of stackcookie ontweken te worden.
- Daarnaast is de detectie van dit soort malware door virusscanners werkelijk slecht te noemen. Waarbij slechts een paar av-engines op VirusTotal dit soort malware herkent.

Het enige nadeel van dit soort malware is dat je de gebruiker zover moet krijgen om zowel een vreemd document te openen als door de beveiligingswaarschuwing heen te klikken.
Ook al is dit met social engineering ook wel te realiseren lijkt me.
02-02-2014, 01:58 door Anoniem
Het is heel simpel om een executable te embedden in Macro code. Talloze mogelijkheden van obfuscatie. Zorg er gewoon voor dat macro's worden verwijderd uit Office documenten als ze via email arriveren.

Ja, dat breekt sommige applicaties. Sleutelwoord is hier applicatie. Je kunt niet toelaten dat willekeurige verzenders van buit de organisatie applicaties toezenden.

De opties zijn: blokkeren of strippen. Strippen is overigens niet moeilijk, er zijn tools voor beschikbaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.