image

RTF meestgebruikte bestandstype bij gerichte aanvallen

dinsdag 14 april 2015, 16:42 door Redactie, 4 reacties

Aanvallers die via gerichte aanvallen bij organisaties proberen in te breken gebruiken het meest RTF-documenten, zo beweert het Japanse anti-virusbedrijf Trend Micro. Van de e-mailbijlagen die vorig jaar bij gerichte aanvallen werden ingezet ging het in 24% van de gevallen om een RTF-document.

Ook DOC-documenten zijn met 22% een geliefd bestandstype. Volgens Trend Micro is de populariteit van beide bestandstypes te verklaren doordat veel organisaties met Microsoft Word werken. PDF-documenten daarentegen worden ondanks de dominantie van Adobe Reader nauwelijks bij gerichte aanvallen gebruikt. Slechts 2% van de aanvallen vond plaats via een PDF-bijlage.

Hoewel er vorig jaar zero day-aanvallen plaatsvonden waarbij aanvallers een kwetsbaarheid in PowerPoint gebruikten waarvoor nog geen update beschikbaar was, blijkt dat de meeste gerichte aanvallen eenvoudig zijn te voorkomen. In veel gevallen wordt er namelijk gebruikt gemaakt van beveiligingslekken die jaren oud zijn. Een bekende kwetsbaarheid is CVE-2012-0158. Het gaat hier om een lek in Word dat drie jaar geleden al werd gepatcht. Bij 10% van de gerichte aanvallen werd een exploit voor deze kwetsbaarheid ingezet.

Image

Reacties (4)
14-04-2015, 17:23 door Anoniem
Ik vind het maar een rare uitkomst.

Vraag eens om je heen op kantoor enz. wat een rtf bestand is en of ze rtf als bestandsformaat gebruiken bij het opslaan van documenten?
Ik denk dat in veel gevallen de uitkomst iets is met veel vraagtekens.

Als je nou geleerd hebt geen vreemde bestanden te openen en je bent niet bekend met het rtf formaat zou dat eveneens een onbekend bestandsformaat zijn dat je verdacht vindt en niet opent. Toch?

Waarom zouden aanvallers dan blijven kiezen voor een dergelijk onbekend formaat als er een veel bekende alternatief wel werkt.
De doc,xls, ppt en de x (zipcontainer) varianten daarop met volgens mij veel meer oude kwetsbaarheden om te misbruiken.
15-04-2015, 08:59 door Anoniem
Door Anoniem: Ik vind het maar een rare uitkomst.

Vraag eens om je heen op kantoor enz. wat een rtf bestand is en of ze rtf als bestandsformaat gebruiken bij het opslaan van documenten?
Ik denk dat in veel gevallen de uitkomst iets is met veel vraagtekens.

De meeste (Windows) kantoorsystemen zijn geconfigureerd om geen bestandsextenties te tonen.
Een .rtf bestand wordt standaard met Word geopend en krijgt daardoor ook het Word icoontje.

Ik denk dus ook dat je de .doc en de .rtf aanvalspercentages kan optellen om te weten hoeveel aanvallen er gebeuren via Word.
15-04-2015, 09:43 door Anoniem
RTF wordt standaard gewoon met Word geopend volgens mij. Grote kans dat een doorsnee gebruiker (zonder extensies) niet eens door heeft dat hij een rtf ipv een doc(x) opent.
16-04-2015, 12:36 door Anoniem
Doc en docx worden regelmatig meer gefilterd/gecontroleerd in bedrijfsnetwerken omdat ze een bekender security risico zijn dan rtf.
Hierdoor is de omschakeling naar rtf voor de aanvallers een logische keuze, zelfde kracht, zelfde vulnerabilities, minder pakkans.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.