Office-onderdeel laat aanvaller code zonder macro's uitvoeren
Een onderzoeker waarschuwt Office-gebruikers voor een feature waardoor aanvallers kwaadaardige code via documenten kunnen uitvoeren, ook al staan macro's uitgeschakeld en het onderdeel is niet uit te schakelen. Elke Windows-versie van Microsoft Office bevat een feature waarmee het mogelijk is om content in documenten te embedden.
Het gaat onder andere om uitvoerbare content, zoals exe- en JavaScript-bestanden, zo laat onderzoeker Kevin Beaumont op de Full-disclosure mailinglist weten. De OLE Packager, zoals de feature heet, is sinds het begin van de jaren 1990 in de software van Microsoft aanwezig is. De feauture, die het embedden van content mogelijk maakt, werd in Windows 3.1 geïntroduceerd en werd tot en met Windows XP ondersteund. Alle Office-versies ondersteunen de feature nog. Om te voorkomen dat er misbruik van de feature wordt gemaakt gebruikt Microsoft een lijst met riskante bestandstypen.
Zodra een riskant bestandstype aan een document is toegevoegd laat de lijst een waarschuwing aan de gebruiker zien. Deze waarschuwing kan worden genegeerd, maar gebruikers kunnen tenminste zien dat het document riskante content bevat. Volgens Beaumont is de statische lijst echter niet up-to-date. Zo worden PowerShell- en andere uitvoerbare bestanden niet herkend en krijgen gebruikers daardoor geen waarschuwing. Zodoende is het mogelijk om via het openen van Office-bestanden code op de computer uit te voeren. Daarbij maakt het niet uit of macro's staan uitgeschakeld of dat er van High Security Templates gebruik wordt gemaakt.
Oplossing
Microsoft werd in maart van dit jaar over het probleem ingelicht en kreeg te horen dat aanvallers met de feature experimenteerden. Om wat voor aanvallers en aanvallen het precies gaat laat Beaumont niet weten. Wel zou Microsoft hem destijds hebben gevraagd om informatie over het probleem niet te publiceren. Uiteindelijk kreeg de onderzoeker te horen dat het om een feature van Office gaat en is het probleem nog altijd niet verholpen. Windows-gebruikers die Microsoft EMET hebben geïnstalleerd, een gratis tool om Windows mee te beveiligen, kunnen een regel voor Excel, Word en PowerPoint opnemen die voorkomt dat de feature kan worden uitgevoerd. Dit voorkomt echter ook legitiem gebruik van de feature
Deze onderzoeker heeft dan ook absoluut niks nieuws ontdekt. Security.NL zelf heeft in het verleden ook meermaals bericht van malware die misbruik van deze techniek maakt, zie bijvoorbeeld: https://www.security.nl/posting/368880/Trojaans+paard+verstopt+zich+in+RTF-document.
Windows-gebruikers die Microsoft EMET hebben geïnstalleerd, een gratis tool om Windows mee te beveiligen, kunnen een regel voor Excel, Word en PowerPoint opnemen die voorkomt dat de feature kan worden uitgevoerd. Dit voorkomt echter ook legitiem gebruik van de feature
Ik vraag me af of de standaard instellingen in EMET voor Word Exel en PowerPoint genoeg zijn of moet er nog iets extra worden toegevoegd in EMET om te voorkomen dat de feature wordt uitgevoerd
Ik vraag me af of de standaard instellingen in EMET voor Word Exel en PowerPoint genoeg zijn of moet er nog iets extra worden toegevoegd in EMET om te voorkomen dat de feature wordt uitgevoerd
De standaard instellingen van EMET bieden geen bescherming hier tegen. Je zal een custom ASR rule moeten aanmaken die voorkomt dat de packager.dll geladen kan worden. HitmanPro.Alert 3 biedt standaard wel bescherming.
De standaard instellingen van EMET bieden geen bescherming hier tegen. Je zal een custom ASR rule moeten aanmaken die voorkomt dat de packager.dll geladen kan worden. HitmanPro.Alert 3 biedt standaard wel bescherming.
He W.Spu tijd niet gezien. Bedankt voor de info
Ik ga dan een custom ASR rule aan te maken de voorkomt dat packager.dll geladen wordt. of HitmanPro.Alert 3 gebruiken. Echter is HitmanPro.alert 3 gratis of is dit een trial van een aantal dagen? Dit staat er namelijk niet bij http://www.surfright.nl/en/alert
HitmanPro.Alert is gratis. Een nadeel is dat het af en toe ook legitieme programma's bevriest. Overigens kun je problemen ook voorkomen door nooit zomaar te dubbelklikken in niet-vertrouwde documenten.
@_kraai__
HitmanPro.Alert is gratis. Een nadeel is dat het af en toe ook legitieme programma's bevriest. Overigens kun je problemen ook voorkomen door nooit zomaar te dubbelklikken in niet-vertrouwde documenten.
@ Anoniem 09-07-2015 17:54 uur
Bedankt voor de info! Inmiddels ben ik voor het instellen van een custom ASR rulle gegaan, aar ben wel aan het overwegen om over te stappen op HitmanPro.Alert. Moet wel even uitzoeken of dit samen gaat met mijn huidige AV. Niet dubbelklikken in niet-vertrouwde documenten helpt dus ook begrijp ik. Eventueel kan ook Linux mint opstarten mocht ik over een document twijfelen, dan kan zoverre ik weet een .exe bestand niet worden uitgevoerd.
Echter is HitmanPro.alert 3 gratis of is dit een trial van een aantal dagen? Dit staat er namelijk niet bij http://www.surfright.nl/en/alert
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
