Documenten installeren backdoor via recent Office-lek
Een recent beveiligingslek in Microsoft Office dat in april werd gepatcht wordt al enkele weken actief aangevallen en gebruikt om een backdoor op Windowscomputers te installeren. Een probleem, want veel organisaties installeren geen beveiligingsupdates voor Microsoft Office of wachten hier erg lang mee.
Door het openen van een kwaadaardig document kan een aanvaller vervolgens malware op de computer installeren. Een tactiek die al jaren met succes wordt toegepast. Vorig jaar verrichte het Britse anti-virusbedrijf Sophos onderzoek (pdf) naar de kwetsbaarheden die aanvallers bij dit soort aanvallen gebruiken. Twee lekken, één uit 2010 en één uit 2012, werden door de meeste van de kwaadaardige documenten aangevallen. Ook uit andere onderzoeken blijkt dat de kwetsbaarheid uit 2012 het favoriete doelwit van aanvallers is.
Hoewel er voor het nu aangevallen Office-lek al zo'n vijf maanden een update beschikbaar is, is het de vraag hoeveel organisaties die hebben geïnstalleerd. Al voordat de patch van Microsoft verscheen werd de kwetsbaarheid aangevallen. Begin augustus zag Sophos echter een reeks documenten voorbij komen die van het lek gebruik proberen te maken. De documenten hebben onderwerpen als "WUPOS_update.doc", "ammendment.doc", "Information 2.doc" en "Anti-Money Laudering & Suspicious cases.doc".
In het geval de bestanden op een ongepatchte machine worden geopend zal de code in het document een backdoor genaamd Uwarrior op de computer installeren. Hiermee hebben de aanvallers volledige controle over de machine. Om infectie te voorkomen krijgen beheerders en gebruikers het advies om Office te patchen en geen onverwachte of ongevraagde documenten te openen. Vorige week waarschuwde IBM al dat e-mailbijlagen een comeback als aanvalsvector maken.
17-08-2015: Gedeeltelijke analyse die ik maakte na het vinden van een verdacht sample: http://blog.ropchain.com/2015/08/16/analysis-of-exploit-targeting-office-2007-2013-ms15-022/
20-08-2015: Eerste Fortinet blog post: http://blog.fortinet.com/post/the-curious-case-of-the-document-exploiting-an-unknown-vulnerability-part-1
24-08-2015: PaloAlto blog post: http://researchcenter.paloaltonetworks.com/2015/08/rtf-exploit-installs-italian-rat-uwarrior/
Het zou kunnen dat ze er zelfstandig achter zijn gekomen, maar laat zijn met publicatie. Ducklin beweert niet dat Sophos de eerste was. Het mag, maar het is niet fraai.
De Amerikanen doen het nog anders: die schrijven gerust "we discovered", maar dat betekent niet echt dat zij de ontdekkers zijn, in hun PR taal. De deksel van de pot afhalen is volgens hen een "discovery".
Een bedrijf als Sopos doet zijn research wat dat betreft beter, en zorgt ervoor dat, hoewel ze de analyse al hebben gedaan (timeframe van de samples) de uitwerking hiervan pas later wordt gepubliceerd.
Het valt me trouwens wel tegen dat deze methode niet al op black wednesday is gezien.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
