image

Microsoft waarschuwt voor macro-malware

zaterdag 3 januari 2015, 09:08 door Redactie, 12 reacties

Microsoft waarschuwt Office-gebruikers voor macro's in documenten, aangezien deze methode steeds vaker door cybercriminelen wordt gebruikt om malware te verspreiden. Eind december was er een toename van verschillende spamcampagnes waarbij twee Trojan-downloaders werden verspreid. De Trojan-downloaders zaten in Excel- en Word-documenten verstopt die zich als bestellingen en facturen voordeden.

De aanvallers hadden de documenten van een melding voorzien dat de inhoud alleen kon worden weergegeven als de gebruiker macro's inschakelde. Macro's laten gebruikers verschillende taken automatiseren en werden jaren terug op grote schaal door malware gebruikt. Vanwege de veiligheidsrisico's besloot Microsoft daarom om macro's standaard in Office te blokkeren.

Gebruikers krijgen dan ook een beveiligingswaarschuwing te zien dat macro's zijn uitgeschakeld. In dezelfde waarschuwing kunnen gebruikers er echter voor kiezen om de content van het document weer te geven. "De combinatie van de instructies, het spambericht met een zogenaamd financiële inhoud en wat een relevante bestandsnaam lijkt kan genoeg zijn om een nietsvermoedende gebruiker macro's te laten inschakelen", zegt Alden Pornasdoro van het Microsoft Malware Protection Center.

Zodra gebruikers toch op de knop klikken om de inhoud weer te geven wordt de Trojan-downloader gedownload, die op zijn beurt weer andere malware op de computer installeert. Microsoft adviseert gebruikers dan ook dat facturen of afschriften in de meeste gevallen geen macro's nodig hebben, te letten op ongesigneerde macro's en macro's van onbetrouwbare bronnen en dat sommige macro-malware documenten opzettelijk leeg laat, zodat gebruikers denken dat ze macro's moeten inschakelen.

Image

Reacties (12)
03-01-2015, 13:17 door Anoniem
Wat ook helpt, is de afzender vragen om een PDF te sturen; controleer je en de afzender en je bent van de macro's af.
Ik vind het trouwens toch al raar om een factuur als doc(x) document te krijgen. Niet alleen omdat ik geen Office gebruik maar ook omdat doc(x) een 'source' document is. Mensen die mij een sollicitatie brief of hun CV als doc(x) hebben al minpunten te pakken.
03-01-2015, 13:29 door ph-cofi
Documenten van andere organisaties met macro's niet in behandeling nemen maar terugsturen met het verzoek een PDF op te sturen. Open standaarden, graag.

Of installeer Libreoffice naast MS-office en open deze documenten in Libreoffice. Weg macro.
03-01-2015, 16:17 door Anoniem
Door ph-cofi: Documenten van andere organisaties met macro's niet in behandeling nemen maar terugsturen met het verzoek een PDF op te sturen. Open standaarden, graag.

Of installeer Libreoffice naast MS-office en open deze documenten in Libreoffice. Weg macro.

Als je een doc/xls document opent met een moderne versie van Office krijg je de vraag of je macros aan wilt zetten, het document zelf wordt sowieso getoont. Het doc format is een gepubliceerde "standaard", evenals Adobe's PDF. Een PDF met script is ook potentieel gevaarlijk.

Officeklonen zijn intrinsiek zeker niet veiliger dan Microsoft.
03-01-2015, 16:35 door Eric-Jan H te D - Bijgewerkt: 03-01-2015, 16:37
Door Anoniem:.... 'source' document ....

Wat is dat en wat is de tegenwerping.

Los van de rammelende zinsconstructie geloof ik niet zo erg in een personeelsafdeling die geen Officepakket (al dan niet MS) gebruikt. En die zich bovendien anoniem op een forum presenteert. Ik zou sterk overwegen niet bij een dergelijk bedrijf te solliciteren.
03-01-2015, 18:01 door Anoniem
Door Eric-Jan H te A:
Door Anoniem:.... 'source' document ....

Wat is dat en wat is de tegenwerping.

De 'tegenwerping' lees je kennelijk zelf; die kan ik nergens anders op de pagina terugvinden. Met 'source' bedoel ik het brondocument inclusief alle meta data (en dus ook de eventuele macro 'rotzooi'). Ik wil graag een document ontvangen die is opgemaakt zoals ze het bedoelen; PDF dus.

Mensen die maar aannemen dat 'iedereen' Office gebruikt, hoeven inderdaad niet bij ons te solliciteren. We hebben liever mensen met een bredere versie en die openstaan voor alternatieven; ik ga er toch ook niet van uit dat je met een Volkswagen Golf komt omdat dat de meest verkochte auto is? Kom op zeg!

Jerome Z te Z (zegt geloof ik niet veel meer dan 'Anoniem'). Enne is 'ph-cofi' nu zo veel anders dan 'Anoniem'?
03-01-2015, 18:52 door Anoniem
niks nieuws toch, macro's is en blijft een gevaar!
03-01-2015, 19:08 door Eric-Jan H te D - Bijgewerkt: 03-01-2015, 20:16
Door Anoniem: De 'tegenwerping' lees je kennelijk zelf; die kan ik nergens anders op de pagina terugvinden. Met 'source' bedoel ik het brondocument inclusief alle meta data (en dus ook de eventuele macro 'rotzooi'). Ik wil graag een document ontvangen die is opgemaakt zoals ze het bedoelen; PDF dus.

"... wat is de tegenwerping ..." is een vraag en geen constatering.

Macro's zijn niet zozeer metadata, maar ongewenste functionaliteit. Verder zijn er tooltjes die een Word-document van alle overbodige informatie ontdoen.

PDF's staan ook bol van de metadata.
- Font-definities
- Hyperlinks
- etc
PDF's hebben daarnaast ook de mogelijkheid van ongewenste functionaliteit in de vorm van Java-script voor Acrobat.

En ook hebben ze een browser nodig. Die wordt door de meeste mensen van Adobe gehaald. En de aanvallen daartegen zijn door de jaren heen ook niet van de lucht.

Ik schreef "Officepakket (al dan niet MS)". Ik ben benieuwd hoe uw kantoorautomatisering er zonder uitziet. Ik ben zeer bereid te leren. Hopelijk bent U bereid te onderwijzen.

Ikzelf prefereer "platte tekst" bestanden voor een virusvrije communicatie. Het gaat mij om de inhoud en niet om de opmaak.
03-01-2015, 22:22 door Anoniem
Door Eric-Jan H te A:

PDF's hebben daarnaast ook de mogelijkheid van ongewenste functionaliteit in de vorm van Java-script voor Acrobat.

En ook hebben ze een browser nodig. Die wordt door de meeste mensen van Adobe gehaald. En de aanvallen daartegen zijn door de jaren heen ook niet van de lucht.

...

Ikzelf prefereer "platte tekst" bestanden voor een virusvrije communicatie. Het gaat mij om de inhoud en niet om de opmaak.

Pdf's hebben geen browser nodig.

Wat voorkomt is dat er in browser voorkeuren de voorkeur is geactiveerd een pdf in de browser te bekijken.
Dat is geen verplichting, nog noodzaak om pdf's te kunnen bekijken.
Schakel je die browser pdf preview voorkeur uit dan zal bij het aanklikken van een url eindigend op .pdf een download van het pdf file starten in plaats van dat het geopend wordt in de browser.

Tenzij je in die browser al dan niet bewust ook nog een aparte pdf plugin van Adobe hebt geïnstalleerd. Die pdf plugin krijg je er geloof ik ongemerkt gratis bij als je de pdf reader van Adobe installeert.

Mogelijk is het zelfs een veiliger aanpak om de pdf eerst te downloaden, dan te scannen op virussen en dan pas te openen.
Nog veiliger is om in je pdf reader op zoek te gaan naar de voorkeuren rondom javascrtipt gebruik en deze te de-activeren en/of geen connectie met internet toe te staan.
Nog nog veiliger is het om die hele Adobe pdf reader te blokkeren in je uitgaande firewall.
De reader kan dan niet ongewild per javascript extra malware downloaden.

Let wel, hef periodiek die blokkade op om te kunnen controleren op updates. Installeer die en blokkeer dan weer connectie met internet voor je pdf reader.
Al kan maandelijks een nieuwe pdf reader downloaden en installeren natuurlijk ook.

Met bovenstaande maatregelen ben je nog steeds niet helemaal veilig want met een embedded link in een pdf document kan ook weer je browser worden geactiveerd om een pagina te bezoeken. Dat gaat sneller dan jij kan afsluiten.

Het voordeel bij deze weg naar het internet is dan dat dat in ieder geval merkbaar gebeurt.
Tenminste, tenzij je weer het openen van nieuwe links in tabs op inactief hebt staan in je browservoorkeuren; de nieuw geopende link door het pdf javascript wordt dan geopend in een niet naar de voorgrond actief worden de tab wat minder opvalt en daarmee over het hoofd kan worden gezien.

Sterk spul die pdf's.
Opletten!


Jouw alternatief, sollicitatiebrieven en cv's toesturen in platte tekst?
Grapjas!
Je valt er in ieder geval wel mee op, of het helpt om aangenomen te worden?
HR (human robots?) is/zijn over het algemeen bijzonder gehecht aan cosmetica, pardon window dressing, eeuh facelifts, ahnee opmaak, nouja zeg maar prrrresentatie.
Daar past platte tekst niet erg bij.
Platte bedrijfscultuur is dan weer niet onmogelijk.
03-01-2015, 22:56 door Anoniem
Door Anoniem:
.. Mensen die mij een sollicitatie brief of hun CV als doc(x) hebben al minpunten te pakken.
Ondernemers die geen doc(x) - documenten kunnen of willen lezen hebben al minpunten te pakken.
Altijd macro's uitgeschakeld laten als je een doc(x) - document krijgt van iemand waarmee van te voren daarover geen afspraken zijn gemaakt.
04-01-2015, 08:04 door giant
Door Anoniem: Wat ook helpt, is de afzender vragen om een PDF te sturen; controleer je en de afzender en je bent van de macro's af.
Ik vind het trouwens toch al raar om een factuur als doc(x) document te krijgen. Niet alleen omdat ik geen Office gebruik maar ook omdat doc(x) een 'source' document is. Mensen die mij een sollicitatie brief of hun CV als doc(x) hebben al minpunten te pakken.
Bij een sollicitatie die ik laatst deed wilde ik mijn brief/cv uploaden als pdf-bestand. Kreeg een foutmelding, alleen doc(x) was mogelijk.
Er zijn dus bedrijven die om -voor mij onduidelijke- reden geen pdf kunnen of willen openen.
04-01-2015, 08:54 door Anoniem
Door Anoniem: Wat ook helpt, is de afzender vragen om een PDF te sturen; controleer je en de afzender en je bent van de macro's af.

Haha leuk.... je weet kennelijk niet hoe een PDF in elkaar zit en wat er allemaal in gestopt kan worden (zoals javascript,
flash en uiteraard PS). De mogelijkheden daarvan gaan die van macro's ver te boven.
Ook is het aantal lekken en bijbehorende exploits in een bekende PDF reader bepaald niet minder dan die in Office.
05-01-2015, 04:13 door Eric-Jan H te D - Bijgewerkt: 06-01-2015, 19:49
Door Anoniem:Jouw alternatief, sollicitatiebrieven en cv's toesturen in platte tekst? Grapjas!
Ik neem voor alle zekerheid maar niet de moeite om te solliciteren. Hoogstwaarschijnlijk wordt er toch alleen maar naar de opmaak en niet naar de inhoud gekeken. Ik schreef namelijk dat ik "platte tekst" prefereer. En dat doe ik omdat ik uiterst gevoelig ben voor beveiligingsissues.

Oh ja; laat me nog eens weten hoe jullie kantoorautomatisering er uitziet zonder een office-achtig pakket. Of is het bij jullie in het bedrijf gewoonte om niet naar anderen te luisteren, zodat je ook geen antwoorden hoeft te geven. De loonbetalingen zijn hopelijk wel op tijd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.