image

Microsoft waarschuwt voor risico van macro's in Word

donderdag 25 februari 2016, 09:54 door Redactie, 17 reacties

Microsoft heeft gebruikers van Office gewaarschuwd voor het risico van macro's in documenten en adviseert om standaard alle macro's die niet over een digitale handtekening beschikking uit te schakelen. Macro's laten gebruikers verschillende veelgebruikte taken automatiseren.

Het gebruik van macro's is echter ook een populaire aanvalsmethode voor computercriminelen. Macro's in Word-documenten worden onder andere gebruikt door ransomware. Een nieuwe ransomware-variant genaamd Locky verspreidt zich op deze manier en is zeer succesvol. Volgens Microsoft zijn er wereldwijd tal van computers die door Locky besmet zijn geraakt. De malware gebruikt Word- en Excel-documenten waaraan een macro is toegevoegd. In het geval een document over een macro beschikt toont Office een beveiligingswaarschuwing aan de gebruiker dat macro's zijn uitgeschakeld.

Vanwege misbruik door malware in het verleden besloot Microsoft macro's standaard uit te schakelen. Via de waarschuwing kan de macro via één muisklik weer door de gebruiker worden ingeschakeld. In het geval van veel ransomware downloadt de macro vervolgens de ransomware en installeert die op de computer. Om een infectie op deze manier te voorkomen adviseert Microsoft dan ook om macro's uit te schakelen. Alleen digitaal ondertekende macro's zouden moeten worden toegestaan. Dit kan via het Vertrouwenscentrum van Office worden ingeschakeld. Het is ook mogelijk om macro's geheel uit te schakelen, waarbij de gebruiker al dan geen melding krijgt.

Image

Reacties (17)
25-02-2016, 10:18 door Anoniem
Maar waarom is een macro met een handtekening dan betrouwbaarder dan een macro zonder handtekening?
Leven ze bij Microsoft in de waan dat een computercrimineel zijn macro's niet kan ondertekenen?

Kunnen ze niet beter adviseren het downloaden en installeren van software door de gebruiker uit te schakelen?
Dat werkt veel breder tegen allerlei malware...
25-02-2016, 10:49 door Anoniem
Dit hele Locky gezeur komt mijn strot uit.
Het is ZO simpel....
Blokkeer uitvoeren uit %temp% en het hele probleem is verholpen.

Snap dat AV Vendors dit aangrijpen als een goedkope marketing campagne, maar Microsoft zelfs?
25-02-2016, 10:51 door Erik van Straten - Bijgewerkt: 25-02-2016, 11:01
25-02-2016, 09:54 door Redactie:
[...]
Het gebruik van macro's is echter ook een populaire aanvalsmethode voor computercriminelen. Macro's in Word-documenten worden onder andere gebruikt door ransomware. Een nieuwe ransomware-variant genaamd Locky verspreidt zich op deze manier en is zeer succesvol.
[...]
Locky, maar ook andere malware, wordt onder meer verspreid via Microsoft Office documenten met macro's daarin. Echter, met het verbieden van (unsigned) macro's ben je er niet!

(1) Niet via Office docs met kwaadaardige macro's
Locky en andere malware wordt ook verspreid via heel andere methoden, waaronder als gezipte Javascript file (zie https://isc.sans.edu/forums/diary/Locky+JavaScript+Deobfuscation/20749/).

Nieuw voor mij was het verspreiden via gemanipuleerde .lnk bestanden (shortcuts of te wel snelkoppelingen), zie https://isc.sans.edu/forums/diary/Analyzis+of+a+Malicious+lnk+File+with+an+Embedded+Payload/20763/.

Lastig hierbij kan zijn dat, als je in Windows het tonen van bestandsextensies inschakelt, dat niet geldt voor .lnk bestanden (en ook niet voor .url, .pif, .scf, .shs, .shb en .xnk). Een bestand genaamd "factuur.pdf.lnk" zal dus worden getoond als "factuur.pdf".

Je kunt Windows wel forceren om ook .lnk (en de andere genoemde extensies) te tonen, zie http://www.askvg.com/tip-how-to-show-file-extensions-of-shortcuts-lnk-url-pif-in-windows-explorer/. Maar de GUI wordt dan wel rommelig, bijv. in het Start menu zie je dan ook allemaal .lnk extensies.

(2) Ondertekend betekent niet altijd veilig
Zodra velen het advies van Microsoft opvolgen om macro's digitaal te gaan ondertekenen, zullen malwaremakers dat ook doen (met behulp van code-signing certificaten waarvan zij de bijbehorende private keys hebben gestolen van legitieme organisaties).

M.a.w. als je in jouw organisatie uitsluitend signed macro's toestaat, voed gebruikers dan wel zo op dat ze controleren welke partij die macro('s) digitaal ondertekend heeft!

Edit 11:00: aanvulling over verspreiding van Locky via gezipte Javascript files en opmaak wat verbeterd.
25-02-2016, 10:59 door [Account Verwijderd]
[Verwijderd]
25-02-2016, 11:11 door [Account Verwijderd]
Door Erik van Straten:

Je kunt Windows wel forceren om ook .lnk (en de andere genoemde extensies) te tonen, zie http://www.askvg.com/tip-how-to-show-file-extensions-of-shortcuts-lnk-url-pif-in-windows-explorer/. Maar de GUI wordt dan wel rommelig, bijv. in het Start menu zie je dan ook allemaal .lnk extensies.

Dank voor de tip! Beter een rommelig startmenu, als een gegijzeld startmenu.
25-02-2016, 13:48 door Anoniem
Waarom kan een macro zoveel dat die ook wat kan installeren? Blijkbaar zit er danwel een serieus gat in de beveiliging of gaat men er vanuit dat de gebruiker als root draait. Als dat zo is, is het meer een probleem voor de gebruiker dan een probleem voor het OS...
25-02-2016, 13:51 door Anoniem
Word kan MIME berichten met doc extensie openen en daaruit de mso (ActiveMime) bijlage halen waarin een Word macro zit. Dat is al een "bijzondere" constructie aangezien Microsoft weigert hun ActiveMime format publiek te maken, waardoor mail scanners niet kunnen scannen, maar daar komt nog eens bij dat de MIME die Word leest van Microsoft niet hoeft te voldoen aan de MIME standaarden. Niet-headers worden geinterpreteerd als headers door Word. Van die beveiligingslek maken malware verspreiders op grote schaal misbruik.
25-02-2016, 14:22 door ph-cofi - Bijgewerkt: 25-02-2016, 14:22
Wat gaat er eigenlijk mis als MS-Office macro's worden uitgezet? Is het niet tijd voor een Office product, waarbij IT beheerders macro's helemaal kunnen uitschakelen? Office documenten met macro's zijn ook ver verwijderd van overheidsstandaarden, geloof ik, dus daar lijkt me nog een pluspunt.
25-02-2016, 14:49 door Anoniem
Door Anoniem: Dit hele Locky gezeur komt mijn strot uit.
Het is ZO simpel....
Blokkeer uitvoeren uit %temp% en het hele probleem is verholpen.

Snap dat AV Vendors dit aangrijpen als een goedkope marketing campagne, maar Microsoft zelfs?

Ontneemt dit dan ook de mogelijkheid van remote patching? Dan lijkt mij jou oplossing erger dan de kwaal ;)
25-02-2016, 15:11 door Anoniem
Door Anoniem: Waarom kan een macro zoveel dat die ook wat kan installeren? Blijkbaar zit er danwel een serieus gat in de beveiliging of gaat men er vanuit dat de gebruiker als root draait. Als dat zo is, is het meer een probleem voor de gebruiker dan een probleem voor het OS...

Uiteraard is dat het probleem en uiteraard kan de gebruiker dat oplossen, maar dat interesseert veel mensen niet
hoe vaak je het ook post. Wat ik echter vreemd vind is dat het bij Microsoft ook niet opkomt om te wijzen naar de
mogelijkheden op dit gebied, en ze weer naar die tamelijk nutteloze macrobeveiliging wijzen in plaats van naar de
veel nuttiger user/admin scheiding en AppLocker blokkering van executables in de temp directory en het bureaublad.
25-02-2016, 15:12 door Anoniem
Microsoft heeft nooit gebruik gemaakt van het werk van HP-labs om Word en Excel in een sandbox te laten draaien.

https://web.archive.org/web/20131002223734/http://www.hpl.hp.com/personal/Alan_Karp/polaris/index.html
25-02-2016, 15:26 door Anoniem
Ben die hele MS echt zat aan t worden met al dat gedoe eromheen.
Gebruik open office.
Heb onlangs een tweetal laptops voor vrienden van linux (Ubuntu Mate en LXLE) voorzien met skype. Lees net dat MS skype van Linux aan t blokkeren is, hoe kinderachtig en krom kan je zijn...bron webwereld
Grsdm
25-02-2016, 15:59 door Anoniem
Door Anoniem: Microsoft heeft nooit gebruik gemaakt van het werk van HP-labs om Word en Excel in een sandbox te laten draaien.

https://web.archive.org/web/20131002223734/http://www.hpl.hp.com/personal/Alan_Karp/polaris/index.html

Office heeft al sinds 2012 een serieuze sandbox onder de naam "Protected View": https://support.office.com/en-us/article/What-is-Protected-View-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653
25-02-2016, 16:03 door Anoniem
Door ph-cofi: Is het niet tijd voor een Office product, waarbij IT beheerders macro's helemaal kunnen uitschakelen? Office documenten met macro's zijn ook ver verwijderd van overheidsstandaarden, geloof ik, dus daar lijkt me nog een pluspunt.

Office macro's kunnen al lang centraal helemaal worden uitgezet: https://technet.microsoft.com/en-us/library/ee857085.aspx

Of een bedrijf dat echt wil, hangt af van in hoeverre men gebruik maakt van macro's. Veel bedrijven, en zeker ook overheidsinstanties, maken uitgebreid gebruik van macro's...
26-02-2016, 08:53 door karma4
Door ph-cofi: Wat gaat er eigenlijk mis als MS-Office macro's worden uitgezet? Is het niet tijd voor een Office product, waarbij IT beheerders macro's helemaal kunnen uitschakelen? Office documenten met macro's zijn ook ver verwijderd van overheidsstandaarden, geloof ik, dus daar lijkt me nog een pluspunt.
lachen ... Het grote voorbeeld van linux op de desktop... Duizenden macro-s omgezet naar een eigen gebouwde office macro-omgeving http://www.wollmux.net/wiki/Hauptseite. Je zult de automatisering uit de breedte (zelf doen) of uit de lengte (ICT manier) moeten invullen. ICT-ers hebben nogal de neiging met eigen feestjes bezig te zijn.

Ergo macro-s office Excel zijn de werkpaarden in vrijwel elke werkomgeving.
Je kunt er van vinden wat je wil, het is een warneming. Je kunt er mee doen wat je wil, wil je er van af dan dat lengte traject goed moeten worden (ICT invulling) zodat de breedte niet meer zo nodig is.
26-02-2016, 09:43 door Anoniem
Office heeft al sinds 2012 een serieuze sandbox onder de naam "Protected View": https://support.office.com/en-us/article/What-is-Protected-View-d6f09ac7-e6b9-4495-8e43-2bbcdbcb6653

Uit die link:

Protected View is a read-only mode where most editing functions are disabled.
...
Files from the Internet can have viruses and other harmful content embedded in them. We recommend you edit only the document, if you trust its contents.

Dit is geen serieuze sandbox in vergelijking met Polaris.

Protected View maakt nog steeds de eindgebruiker verantwoordelijk voor de beslissing om potentieel schadelijke dingen te draaien of niet. Oftwel de keuze tussen malware activeren of je werk niet kunnen doen!

Met Polaris draait Office in een aparte user-omgeving dat specifiek voor dit proces wordt opgestart. Alle functionaliteit blijft behouden maar malware krijgt geen toegang tot de enviroment van de user. Alle file-verzoeken vanuit Office naar de user environment gaan via een Powerbox waarbij de user mag beslissen welke files Office krijgt.

In een sandbox met powerbox valt een verzoek van een kwaadaardige macro onmiddelijk op.
26-02-2016, 18:41 door Anoniem
Door Anoniem: Ben die hele MS echt zat aan t worden met al dat gedoe eromheen.
Gebruik open office.
Heb onlangs een tweetal laptops voor vrienden van linux (Ubuntu Mate en LXLE) voorzien met skype. Lees net dat MS skype van Linux aan t blokkeren is, hoe kinderachtig en krom kan je zijn...bron webwereld
Grsdm

Open Office (En de VEEL betere fork LibreOffice) ondersteunt ook macros en daar valt PRECIES hetzelfde mee te realiseren.
Waardeloze toevoeging aan de discussie dus.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.